Byl vydán aktualizovaný pack Sqlninja 0.2.3. Jedná se o nástroj pro automatizaci SQL Injection MS-SQL databáze. Nová verze je přepracována a obsahuje hned několik pokročilých funkcí a nástrojů. Nástroj Sqlninja je napsán v PERLu pro exploitaci SQL Injection zranitelností webových aplikací, které běží na SQL Server od Microsoftu. Pomocí kitu lze (testovat) eskalovat práva až na úroveň super administrator, vytvářet modifikovatelné xp_cmdshell,
fingerprint vzdáleného SQL serveru v rozsahu práv uživatelů, xp_cmd_shell, verze serveru, queries uživatelů, práva uživatelů.
Mimo pseudo shell s DNS tunelem a přímeho reversního bindshellu lze použít útok hrubou silou (včetně inkrementální metody). Atraktivní je možnost uploadu netcat bez pomocí FTP.
Samozřejmostí TCP/UDP scan pro nalezení portu pro reversní shell. Úplná novinka verze 0.2.3 je Metasploit3 wrapper který umožňuje použití SQL Injection pro spuštšní Metasploit payloadů na vzdálenem databázovém serveru.
Demo si můžete prohlídnout zde, samotnou aplikaci pak stáhnout na sourceforge kde se nachází i domovská stránka projektu sqlninja.
Kam dál?
- + Odměna pro autory – honorované články – airdump.cz
+ Linksys E3000 2.4/5GHz – dvourádiové wifi Cisco na DD-WRT
+ PSK handshake – Crack WPA zabezpečení
+ Kód afrag, MDK a Ska – Fragmentační útok
+ Programujeme LPT – krokový motor pre Wi-Fi hacking
+ Facebook řekl, že nás někdo udal – prej děláme neplechu :)
+ LaFonera Hacking – Jasager Karma penetrační testy wifi sítí
+ Nokia N900 packet injection wl1251 Maemo Fremantle [NeoPwn]
+ Packet Injection ipw 4965 AGN patch BackTrack Linux
+ Backdoor pro Windows, Exploitace IPv6 a další publikace
+ Airsnarf Login, Heslo, Cafe a Hacker
+ Metasploit 3.4.0 Hacking Framework – víc jak 100 nových Exploitů
+ Deranged Security – email hesla na internetu
+ Aireplay-ng Windows Packet Injection
+ AirDrop-ng video prezentace – security konference Shmoocon 2010
