Havij - công cụ tự động tìm kiếm và khai thác lỗ hổng SQL Injection.
Chào các bác. Hôm nay mình xin share 1 tool gọi là "huyền thoại" đối với các bác đã từng học SQL Injection.
--- Giới thiệu ---
Havij là một công cụ tự động giúp các tester thâm nhập để tìm kiếm và khai thác lỗ hổng SQL Injection trên một trang web.
Sử dụng phần mềm này, người dùng có thể thực hiện các phương pháp khai thác lỗ hổng SQL Injection một cách dễ dàng qua giao diện. Không khó xử dụng như SQLMap. Havij có thể lấy tên đăng nhập CSDL, mật khẩu mã Hash, dump bảng và cột, trích xuất dữ liệu từ cơ sở dữ liệu, thực hiện các câu lệnh SQL tấn công máy chủ của nạn nhân, thậm chí truy cập vào các tập tin quan trọng của hệ thống và thực hiện các lệnh tương tác với hệ điều hành (shell-chạy command line).
Sức mạnh đặc biệt của Havij để phân biệt nó với các công cụ tương tự là nhờ phương thức Injection độc đáo. Tỉ lệ thành công của các cuộc tấn công nhờ Havij lên tới 95%.
Với giao diện thân thiện và thiết đặt hệ thống phát hiện lỗ hổng tự động khiến nó trở nên dễ dàng cho tất cả người dùng.
-------------------------------------
Và cuối cùng là link download: https://goo.gl/QY9lBJ
Password: là code cuối cùng ở thử thách của bác Lâm Oscar tại đây :v : https://www.facebook.com/502266753438783/
-------------------------------------
P/s: bản này là bản 1.152, mình đã bổ sung các file control OCX giúp dễ dàng chạy tool.
[#protect@64x2z21333@][#j2team_share][Tag: #attack, #sqli, #sql_injection, #havij] [#Monster_Pro]
#j2team_question #SQLi #ThaoLuan
Lâu rồi chỉ thấy J2Team Share mà ko thấy 1 chủ đề nào để thảo luận gì cả. Thấy bội thực cho nên.
Sau khi đọc kỹ nội quy nhóm về nội dung và chủ để đăng bài. Mình Mạn phép đăng bài này để mọi người trong group ai có hứng thú thì tham gia góp vui
Hiện tại mình đang tập tành SQL i. Mục đích của mình chỉ là để học hỏi để biết nhiều hơn!
Bạn nào trong group có hứng hay có kinh nghiệm về SQL thì add hoặc ib chúng ta cùng thảo luận và giúp nhau phát triển hơn
Có 2 tools mình đang dùng đó là SQL MAP và Havij! Nhưng 2 tools này mình ít dùng vì nó chỉ hiệu quả với 1 số site cùi bắp :|.
Hiện tại mình muốn get tay. Và đang gặp 1 số chỗ ko bypass qa đc
Ở đây mình gặp vấn đề ở site chặn 403 forbidden!
Đã bypass để union select đc. và tìm ra đc colum lỗi.
Nhưng mình dùng group concat để get table name thì nó lại bị chặn 403 forbidden tiếp. Và đang bị bí đoạn này!
Bạn nào có cách gì để bypass qua đoạn này ko nhỉ?