好久不见,不知道大家的技术有没有提高。野驴今天又给大家带来了新的玩具。我们学习网络安全,不能一直停留在浅尝辄止的层面,那样永远只能是脚本小子,而是要Know it,hack it.而值得庆幸的是,我们所处的时代让我们有条件对感兴趣的领域深入研究学习,比如你喜欢阅读,现在有kindle,还有丰富的电子书资源,让你可以畅游书海。扯远了,刚说到哪了?哦,对!新玩具!凡是对SQL注入攻击有一定了解的小伙伴对sqlmap这款神器不陌生,其强大之处,按下不表,自行百度。但在熟悉基本用法以后应该更进一步,深入学习。比如tamper规则绕过等,如果条件能力允许,最好阅读sqlmap源码,相信会对SQL注入有新的认识(虽然本吊还在路上)。今天要跟大家分享的就是基于sqlmapapi的一款工具。让你躺着就把漏洞挖了 现在基于代理的注入工具越来越多,一般有这么3种 [AppleScript] 纯文本查看 复制代码1、通过burpsuit代理 2、通过其它自写工具(脚本)代理 3、通过VPN透明代理 基本原理就是流量通过代理-->扫描模块(sqlmapapi)-->返回结果如数据库-->UI显示 今天这款工具就是Mat大牛对基于burpsuit代理注入工具Pscan的升级版,通过tornado代理完成分布式注入。 0x01 前言 被动式注入检测工具 程序使用python与php开发,需要安装python。 利用sqlmapapi进行漏洞的检测,然后通过浏览器代理方式获取请求,然后对其进行测试。逻辑流程图如下: 游客,如果您要查看本帖隐藏内容请回复 好了,就到这里。最后感谢Mat大牛的分享精神,让我等小菜可以一窥神器之貌。我写这个帖子也是出于这个目的。如果有什么问题,可以私信我。哦,对!忘了说我的另一篇帖子 野驴教程之社工库搭建第二弹---Mysql\分表\异步查询资源已更新,欢迎光顾。 其他几篇帖子敬上 [光棍节征文]社工联达动力 利用XSS测试平台盲打管理cookie 教程 XSS测试平台教程第二弹基础认证钓鱼 零基础搭建本地社工查询库教程(原创) GourdScan-master4.zip (221.53 KB, 下载次数: 15, 售价: 5 i币) 2015-12-5 19:14 上传 点击文件名下载附件 神器 在此感谢@C4r1st为我提供空间,祝08越办越好。
1、通过burpsuit代理 2、通过其它自写工具(脚本)代理 3、通过VPN透明代理
查看全部评分
使用道具 举报
浮尘 发表于 2015-12-5 20:37 Mat是谁
本版积分规则 发表回复 回帖并转播 回帖后跳转到最后一页
江苏省公安厅
江苏省通信管理局
浙江省台州刑侦支队
DEFCON GROUP 86025
邮箱系统
应急响应中心
红盟安全
官方QQ群:112851260
官方邮箱:security#ihonker.org(#改成@)
官方核心成员
Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )
GMT+8, 2025-3-7 02:51 , Processed in 0.047057 second(s), 18 queries , Gzip On, MemCache On.
Powered by ihonker.com
Copyright © 2015-现在.
发表于 2015-12-5 19:06:06
现在基于代理的注入工具越来越多,一般有这么3种
~~~~~~~~~~~~~~~
发表于 2015-12-5 20:37:56
Mat是谁
谢谢楼主分享