webug靶场第五关工具推荐，SQL注

（图片源于网络，侵删）

PS:webug第五关考的又是SQL注入。所以就推荐一些工具吧。

关于之前的SQL注入，可以看一下这个：黑客入门丨SQL注入攻击及思路延伸，webug靶场实战。下面我们就介绍一下SQL注入工具吧，不知道你们喜欢那个？反正我喜欢Sqlmap。

1.BSQLHacker

BSQLHacker是由Portcullis实验室开发的，BSQLHacker是一个SQL自动注入工具（支持SQL盲注），其设计的目的是希望能对任何的数据库进行SQL溢出注入。BSQLHacker的适用群体是那些对注入有经验的使用者和那些想进行自动SQL注入的人群。BSQLHacker可自动对Oracle和MySQL数据库进行攻击，并自动提取数据库的数据和架构。

2.TheMole

TheMole是一款开源的自动化SQL注入工具，其可绕过IPS/IDS（入侵防御系统/入侵检测系统）。只需提供一个URL和一个可用的关键字，它就能够检测注入点并利用。TheMole可以使用union注入技术和基于逻辑查询的注入技术。TheMole攻击范围包括SQLServer、MySQL、Postgres和Oracle数据库。

3.Pangolin

Pangolin是一款帮助渗透测试人员进行SQL注入(SQLInjeciton)测试的安全工具。Pangolin与JSky（Web应用安全漏洞扫描器、Web应用安全评估工具）都是NOSEC公司的产品。Pangolin具备友好的图形界面以及支持测试几乎所有数据库（Access、MSSql、MySql、Oracle、Informix、DB2、Sybase、PostgreSQL、Sqlite）。Pangolin能够通过一系列非常简单的操作，达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin是目前国内使用率最高的SQL注入测试的安全软件。

4.Sqlmap

Sqlmap是一个自动SQL注入工具。其可胜任执行一个广泛的数据库管理系统后端指纹，检索DBMS数据库、usernames、表格、列、并列举整个DBMS信息。Sqlmap提供转储数据库表以及MySQL、PostgreSQL、SQLServer服务器下载或上传任何文件并执行任意代码的能力。

5.Havij

Havij是一款自动化的SQL注入工具，它能够帮助渗透测试人员发现和利用Web应用程序的SQL注入漏洞。Havij不仅能够自动挖掘可利用的SQL查询，还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据，甚至访问底层文件系统和执行系统命令，当然前提是有一个可利用的SQL注入漏洞。Havij支持广泛的数据库系统，如MsSQL,MySQL,MSAccessandOracle。Havij支持参数配置以躲避IDS，支持代理，后台登陆地址扫描。

6.EnemaSQLi

EnemaSQLi与其他SQL注入工具不同的是，EnemaSQLi不是自动的，想要使用EnemaSQLi需要一定的相关知识。EnemaSQLi能够使用用户自定义的查询以及插件对SQLServer和MySQL数据库进行攻击。支持基于error-based、Union-based和blindtime-based的注入攻击。

7.SQLninja

SQLninja软件用Perl编写，符合GPLv2标准。SQLninja的目的是利用Web应用程序中的SQL注入式漏洞，它依靠微软的SQLServer作为后端支持。其主要的目标是在存在着漏洞的数据库服务器上提供一个远程的外壳，甚至在一个有着严格的防范措施的环境中也能如此。在一个SQL注入式漏洞被发现以后，企业的管理员特别是渗透攻击的测试人员应当使用它，它能自动地接管数据库服务器。现在市场上有许多其它的SQL注入式漏洞工具，但SQLninja与其它工具不同，它无需抽取数据，而着重于在远程数据库服务器上获得一个交互式的外壳，并将它用作目标网络中的一个立足点。

8.sqlsus

sqlsus是一个开放源代码的MySQL注入和接管工具，sqlsus使用perl编写并基于命令行界面。sqlsus可以获取数据库结构，注入你自己的SQL语句，从服务器下载文件，爬行web站点可写目录，上传和控制后门，克隆数据库等。

9.Safe3SQLInjector

Safe3SQLInjector是一个最强大和最易使用的渗透测试工具，它可以自动检测和利用SQL注入漏洞和数据库服务器的过程中。Safe3SQLInjector具备读取MySQL、Oracle、PostgreSQL、SQLServer、Access、SQLite、Firebird、Sybase、SAPMaxDB等数据库的能力。同时支持向MySQL、SQLServer写入文件，以及SQLServer和Oracle中执行任意命令。Safe3SQLInjector也支持支持基于error-based、Union-based和blindtime-based的注入攻击。

10.SQLPoizon

SQLPoizon的图形界面使用户无需深厚的专业知识便能够进行攻击，SQLPoizon扫描注入工具内置浏览器可帮助查看注入攻击带来的影响。SQLPoizon充分利用搜索引擎“dorks”扫描互联网中存在SQL注入漏洞的网站。

PS:以上推荐工具找一两个长期练习精通，剩下的下载下来尝试一下就好了。工具就是要不断尝试啊，不要以为会一两个就很厉害了。

黑客入门靶场webug安装及介绍，附安装包丨新手必备

黑客入门丨SQL注入攻击及思路延伸，webug靶场实战

黑客入门丨图片隐写破解及思路延伸，webug靶场实战

黑客入门丨信息收集之目录端口扫描，webug靶场实战

漏洞扫描工具AWVS介绍及安装教程丨黑客入门

黑客破解密码的几种方式，来了解一下吧丨网络爱好者入门

转载请注明：http://www.fashionflont.com/qwfl/9960.html