Sqlninja è un tool utile tanto al blackhat quanto al sysadmin scrupoloso. Si tratta infatti di un piccolo programma in Perl, funzionante su tutti i sistemi Unix-like, in grado di sferrare attacchi a Microsoft SQL Server sfruttando vulnerabilità di tipo SQL Injection.
L’obiettivo dichiarato di Sqlninja è quello di avere una shell remota sul DB server vittima.
Il programma è in grado di effettuare: un fingerprint del server SQL, un attacco forza bruta della password del system administrator, un port scanning per individuare porte aperte per mettere in ascolto una shell, e addirittura una DNS-tunneled pseudo-shell quando tutte le porte TCP/UDP siano chiuse ma DB server è in grado di risolvere gli hostname esterni.
La versione 0.1.2 implementa una generazione del file di configurazione interattiva, funzionalità di debugging e una semplificazione nei comandi per attaccare un server SQL.
Uno screencast è visualizzabile qui
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
Arael
21 giu 2007 - 08:07 - #1Ecco un bel tool per i lammer e ragazzini che non hanno nulla da fare se non rompere i cosidetti.
Francamente, anche se non sono un fan delle soluzioni proprietarie non mi vanno giù nemmeno tool come questo e affini.
But this is just my humble opinion.
Arael
21 giu 2007 - 08:08 - #2“quanto al sysadmin scrupoloso”
rileggendo…forse non è utile solo ai lammer.
Scusate.
derozer
21 giu 2007 - 08:17 - #3Beh, lo vedo utile piu’ per un penetration tester. Anche perche’ da quel che mi pare di capire non e’ proprio banalissimo da configurare ed utilizzare…. solo il README e’ lungo un chilometro.
ovviamente, IMHO ! :)
Der