野驴教程之神器篇-分布式被动注入漏洞扫描工具GourdScan(...
本帖最后由 野驴~ 于 2015-12-8 13:39 编辑好久不见,不知道大家的技术有没有提高。野驴今天又给大家带来了新的玩具。我们学习网络安全,不能一直停留在浅尝辄止的层面,那样永远只能是脚本小子,而是要Know it,hack it.而值得庆幸的是,我们所处的时代让我们有条件对感兴趣的领域深入研究学习,比如你喜欢阅读,现在有kindle,还有丰富的电子书资源,让你可以畅游书海。扯远了,刚说到哪了?哦,对!新玩具!凡是对SQL注入攻击有一定了解的小伙伴对sqlmap这款神器不陌生,其强大之处,按下不表,自行百度。但在熟悉基本用法以后应该更进一步,深入学习。比如tamper规则绕过等,如果条件能力允许,最好阅读sqlmap源码,相信会对SQL注入有新的认识(虽然本吊还在路上)。今天要跟大家分享的就是基于sqlmapapi的一款工具。让你躺着就把漏洞挖了:victory: 现在基于代理的注入工具越来越多,一般有这么3种
1、通过burpsuit代理
2、通过其它自写工具(脚本)代理
3、通过VPN透明代理
基本原理就是流量通过代理-->扫描模块(sqlmapapi)-->返回结果如数据库-->UI显示
今天这款工具就是Mat大牛对基于burpsuit代理注入工具Pscan的升级版,通过tornado代理完成分布式注入。
0x01 前言
被动式注入检测工具 程序使用python与php开发,需要安装python。 利用sqlmapapi进行漏洞的检测,然后通过浏览器代理方式获取请求,然后对其进行测试。逻辑流程图如下:
**** Hidden Message *****
好了,就到这里。最后感谢Mat大牛的分享精神,让我等小菜可以一窥神器之貌。我写这个帖子也是出于这个目的。如果有什么问题,可以私信我。哦,对!忘了说我的另一篇帖子
野驴教程之社工库搭建第二弹---Mysql\分表\异步查询资源已更新,欢迎光顾。
其他几篇帖子敬上
[光棍节征文]社工联达动力
利用XSS测试平台盲打管理cookie 教程
XSS测试平台教程第二弹基础认证钓鱼
零基础搭建本地社工查询库教程(原创)
在此感谢@C4r1st为我提供空间,祝08越办越好。 一楼自己的:)~~~~~~~~~~~~~~~ :loveliness:Mat是谁 cool .. > 浮尘 发表于 2015-12-5 20:37
Mat是谁
你只要知道是一个大牛就好了 :lol谢谢楼主分享 嘻嘻嘻,谢谢大神指教 感谢楼主分享 看看,支持下!!! 看看8.。