Vous êtes ici : » Accueil» Kali Linux » Meilleurs outils d’injection SQL gratuits et open source

Meilleurs outils d’injection SQL gratuits et open source

(Dernière mise à jour le: 23 septembre 2021)

L’injection SQL est l’une des attaques les plus courantes contre les applications Web. Ceci est utilisé contre les sites Web qui utilisent SQL pour interroger les données du serveur de base de données. Une attaque par injection SQL réussie peut lire des données sensibles, y compris l’e-mail, le nom d’utilisateur, le mot de passe et les détails de la carte de crédit de votre base de données. Un attaquant peut non seulement lire, mais aussi modifier ou supprimer les données de la base de données. Ainsi, l’injection SQL peut être très nocive.

Il existe différents types d’injection SQL qui sont définis en fonction de la portée. Ceux-ci sont:

  • Injection SQL classique
  • Injection SQL aveugle
  • Injection SQL spécifique à la base de données
  • Composé SQLI

Je ne vais pas entrer dans les détails de ces cours. Nous avons couvert divers tutoriels sur l’injection SQL dans le passé. Vous pouvez explorer nos ressources en utilisant la fonction de recherche.

La vulnérabilité d’injection SQL existe car les développeurs ne se soucient pas de la validation et de la sécurité des données. Les entrées des utilisateurs doivent être nettoyées avant d’être transmises aux requêtes SQL, mais les développeurs oublient de le faire ou ne nettoient pas correctement. Cela rend l’application Web vulnérable aux attaques par injection SQL.

Effectuer une injection SQL classique est facile via une attaque basée sur un navigateur en injectant des requêtes dans divers paramètres. Mais cela nécessite également une connaissance des requêtes SQL. Pour l’injection SQL à l’aveugle ou autre, vous devez être un expert avec une connaissance approfondie des requêtes de base de données, de l’architecture de base de données et de l’expérience. Et l’utilisation de moyens manuels prend beaucoup de temps.



Pour faciliter le processus d’attaque par injection S QL , les développeurs ont également développé des outils d’injection SQL en créant un bon moteur de détection. Avec chaque nouvelle version, ces outils deviennent plus intelligents. Ces outils prennent l’URL vulnérable comme paramètre, puis commencent à attaquer la cible. Sur la base de son moteur de détection et d’attaque, ces outils sont capables de détecter le type d’attaque. Parfois, une URL vulnérable est protégée via une session et nécessite une connexion. Ainsi, ces outils ont également la possibilité de se connecter à une application Web via un nom d’utilisateur et un mot de passe fournis pour effectuer une injection SQL dans l’application cible. Ces outils peuvent effectuer une injection SQL basée sur GET, POST ou cookie sans aucun problème.

Ces outils peuvent effectuer automatiquement une attaque et, en quelques minutes, vous obtiendrez un résultat d’attaque réussi. Ces outils vous permettent également d’accéder à n’importe quelle table ou à n’importe quelle colonne de la base de données en un seul clic et un processus d’attaque. Dans les outils CLI, vous pouvez utiliser des commandes pour accéder aux données. Ces outils vous permettent également d’exécuter des requêtes SQL dans la base de données cible. Ainsi, vous pouvez accéder, modifier ou supprimer des données sur le serveur cible. Ces outils permettent également aux attaquants de charger ou de télécharger des fichiers à partir du serveur.

Dans cet article, nous ajoutons quelques outils d’injection SQL open source. Ces outils sont puissants et peuvent effectuer des attaques automatiques par injection SQL contre les applications cibles. Je vais également ajouter le lien de téléchargement pour télécharger l’outil et essayer. J’ai fait de mon mieux pour répertorier les outils d’injection SQL les meilleurs et les plus populaires.

pirate informatique BSQL

BSQL hacker est un bel outil d’injection SQL qui vous aide à effectuer une attaque par injection SQL contre des applications Web. Cet outil est destiné à ceux qui souhaitent un outil d’injection SQL automatique. Il est spécialement conçu pour l’injection SQL aveugle. Cet outil est rapide et effectue une attaque multithread pour des résultats meilleurs et plus rapides.

Il prend en charge 4 types différents d’attaques par injection SQL :

  • Injection SQL aveugle
  • Injection SQL aveugle basée sur le temps
  • Deep Blind (basé sur des délais avancés)
  • Injection SQL basée sur une erreur d’injection SQL

Cet outil fonctionne en mode automatique et peut extraire la plupart des informations de la base de données. Il prend en charge à la fois l’interface graphique et la console. Vous pouvez essayer l’un des modes d’interface utilisateur donnés. À partir du mode GUI, vous pouvez également enregistrer ou charger des données d’attaque enregistrées.

Il prend en charge plusieurs points d’injection, notamment la chaîne de requête, les en-têtes HTTP, POST et les cookies. Il prend en charge un proxy pour effectuer l’attaque. Il peut également utiliser les détails d’authentification par défaut pour se connecter à des comptes Web et effectuer l’attaque à partir du compte donné. Il prend en charge les URL protégées par SSL et peut également être utilisé sur les URL SSL avec des certificats invalides.

L’outil d’injection SQL BSQL Hacker prend en charge MSSQL, ORACLE et MySQL. Mais la prise en charge de MySQL est expérimentale et n’est pas aussi efficace sur ce serveur de base de données que sur les deux autres.

SQLmap

SQLMap est l’outil d’injection SQL open source et le plus populaire parmi tous les outils d’injection SQL disponibles. Cet outil permet d’exploiter facilement la vulnérabilité d’injection SQL d’une application Web et de prendre le contrôle du serveur de base de données. Il est livré avec un puissant moteur de détection qui peut facilement détecter la plupart des vulnérabilités liées à l’injection SQL.

Il prend en charge une large gamme de serveurs de bases de données, notamment MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB et HSQLDB. La plupart des serveurs de bases de données populaires sont déjà inclus. Il prend également en charge divers types d’attaques par injection SQL, notamment les requêtes aveugles booléennes, aveugles basées sur le temps, basées sur les erreurs, basées sur les requêtes UNION, empilées et hors bande.

Une bonne caractéristique de l’outil est qu’il est livré avec un système de reconnaissance de hachage de mot de passe intégré. Il aide à identifier le hachage du mot de passe, puis à déchiffrer le mot de passe en effectuant une attaque par dictionnaire.

Cet outil vous permet de télécharger ou de charger n’importe quel fichier du serveur de base de données lorsque le serveur de base de données est MySQL, PostgreSQL ou Microsoft SQL Server. Et uniquement pour ces trois serveurs de base de données, il vous permet également d’exécuter des commandes arbitraires et de récupérer leur sortie standard sur le serveur de base de données.

Après vous être connecté à un serveur de base de données, cet outil vous permet également de rechercher un nom de base de données spécifique, des tables spécifiques ou des colonnes spécifiques dans l’ensemble du serveur de base de données. C’est une fonctionnalité très utile lorsque vous souhaitez rechercher une colonne spécifique mais que le serveur de base de données est énorme et contient trop de bases de données et de tables.

Téléchargez SQL Map à partir du lien ci-dessous : https://github.com/sqlmapproject/sqlmap



SQLninja

SQLninja est un outil d’injection SQL qui exploite les applications Web qui utilisent un serveur SQL comme serveur de base de données. Cet outil peut ne pas trouver le lieu d’injection au début. Mais s’il est découvert, il peut facilement automatiser le processus d’exploitation et extraire les informations du serveur de base de données.

Cet outil peut ajouter des prises de vue distantes dans le registre du système d’exploitation du serveur de base de données pour désactiver la prévention de l’exécution des données. L’objectif global de l’outil est de permettre à l’attaquant d’accéder à distance à un serveur de base de données SQL.

Il peut également être intégré à Metasploit pour obtenir un accès GUI à la base de données distante. Il prend également en charge le bindshell direct et inverse, à la fois TCP et UDP.

Cet outil n’est pas disponible pour les plates-formes Windows. Il est uniquement disponible pour les systèmes d’exploitation Linux, FreeBSD, Mac OS X et iOS.

Téléchargez SQLninja à partir du lien ci-dessous : http://sqlninja.sourceforge.net/



Injecteur SQL Safe3

L’injecteur SQL Safe3 est un autre outil d’injection SQL puissant mais facile à utiliser. Comme d’autres outils d’injection SQL, il rend également le processus d’injection SQL automatique et aide les attaquants à accéder à un serveur SQL distant en exploitant la vulnérabilité d’injection SQL. Il dispose d’un puissant système d’IA qui reconnaît facilement le serveur de base de données, le type d’injection et le meilleur moyen d’exploiter la vulnérabilité.

Il prend en charge les sites Web HTTP et HTTPS. Vous pouvez effectuer une injection SQL via GET, POST ou des cookies. Il prend également en charge l’authentification (authentifications HTTP Basic, Digest, NTLM) pour effectuer une attaque par injection SQL. L’outil prend en charge une large gamme de serveurs de bases de données, notamment les systèmes de gestion de bases de données MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase et SAP MaxDB.

Pour MYSQL et MS SQL, il prend également en charge la lecture, la liste ou l’écriture de tout fichier à partir du serveur de base de données. Il permet également aux attaquants d’exécuter des commandes arbitraires et de récupérer leur sortie sur un serveur de base de données dans Oracle et Microsoft SQL Server. Il prend également en charge la supposition de chemin Web, le crack MD5, la requête de domaine et l’analyse d’injection SQL complète.

Téléchargez l’outil d’injection SQL Safe3 à partir du lien ci-dessous : http://sourceforge.net/projects/safe3si/



SQLSus

SQLSus est un autre outil d’injection SQL open source et est essentiellement un outil d’injection et de prise de contrôle MySQL. Cet outil est écrit en Perl et vous pouvez étendre les fonctions en ajoutant vos propres codes. Cet outil propose une interface de commande qui vous permet d’injecter vos propres requêtes SQL et d’effectuer des attaques par injection SQL.

Cet outil se veut rapide et efficace. Il prétend utiliser un puissant algorithme d’attaque par injection aveugle pour maximiser les données recueillies. Pour de meilleurs résultats, il utilise également des sous-requêtes empilées. Pour rendre le processus encore plus rapide, il dispose du multi-threading pour effectuer des attaques dans plusieurs threads.

Comme les autres outils d’injection SQL disponibles, il prend également en charge HTTPS. Il peut effectuer des attaques via GET et POST. Il prend également en charge les cookies, le proxy de chaussettes, l’authentification HTTP et la récupération de données binaires.

Si l’accès à information_schema n’est pas possible ou si la table n’existe pas, il peut effectuer une attaque par force brute pour deviner le nom de la table. Avec cet outil, vous pouvez également cloner une base de données, une table ou une colonne dans une base de données SQLite locale et continuer sur différentes sessions.

Si vous souhaitez utiliser un outil d’injection SQL contre une attaque MySQL, vous préférerez cet outil car il est spécialisé pour ce serveur de base de données spécifique.

Téléchargez SQLsus à partir du lien ci-dessous : http://sqlsus.sourceforge.net/

Taupe

Mole or (The Mole) est un outil d’injection SQL automatique disponible gratuitement. Il s’agit d’un projet open source hébergé sur Sourceforge. Il vous suffit de trouver l’URL vulnérable puis de la transmettre à l’outil. Cet outil peut détecter la vulnérabilité à partir de l’URL donnée en utilisant des techniques de requête basées sur l’union ou sur la base booléenne. Cet outil propose une interface en ligne de commande, mais l’interface est facile à utiliser. Il offre également l’auto-complétion sur les commandes et les arguments de commande. Ainsi, vous pouvez facilement utiliser cet outil.

Mole prend en charge les serveurs de bases de données MySQL, MsSQL et Postgres. Ainsi, vous ne pouvez effectuer des attaques par injection SQL que contre ces bases de données. Cet outil a été écrit en Python et ne nécessite que Python3 et Python3-lxml. Cet outil prend également en charge les attaques basées sur GET, POST et cookies. Mais vous devez apprendre les commandes pour utiliser cet outil. Les commandes ne sont pas typiques, mais vous devez les avoir. Listez ces commandes ou apprenez, c’est votre choix personnel.

Téléchargez l’outil d’injection Mole SQL à partir du lien ci-dessous : http://sourceforge.net/projects/themole/files/


 

Laisser un commentaire

Translate »