最好的Sql注入工具介绍(1)

在Neeao 那看到的,我也发下吧,这工具我前两天其实已经从 Zwell 那拿到了,只是在未征得Zwell 的同意下,不好发出来,先宣传下吧...工具确实不错..

    什么是pangolin呢，它将会你是见过最好的SQL注入渗透测试工具了。为什么会这么说呢？因为，首先它支持的数据库是目前最全的，包括：
Access : Informations(Database Path; Root Path; Drivers); Data
MSSql : Informations; Data; FileReader; RegReader; FileWriter; Cmd; DirTree
MySql : Informations; Data; FileReader; FileWriter;
Oracle : Inforatmions(Version; IP; Database; Accounts......); Data; and any others ; )
Informix : Informatons; Data
DB2 : Informatons; Data; and more ;)
Sybase : Informatons; Data; and more ;)
PostgreSQL : Informatons; Data; FileReader;
Sqlite :  Informatons; Data

    目前大部分的注入工具都是针对MSSQL和Mysql再加上Oracle，Access的，对于其他中小型公司使用较少的DB2、Informix、Sybase、PostgreSQL以及Sqlite都涉及的非常少，其实这些系统也是可以做非常多的事情的。

    其次，从上面也可以看出，pangolin将会使SQL注入的功能最大化。每种数据库类型都会有信息获取，数据获取两项基本功能。除此之外，还包括一些不同的数据库的特殊应用。如Mysql的读写文件操作; MSSql的读写文件操作、注册表读取、系统命令执行; Oracle的密码破解、IP地址信息获取（即使是在内网通过防火墙映射的都可以）; 甚至还包括Access数据库的数据库文件路径、磁盘信息、根路径等这些比较偏的信息也能获取。其他数据库中有许多东西需要自己去从pangolin中找着玩了 ;)

    这个工具一直是自己私下里开发着用的，在所有错误信息被屏蔽的情况下也能非常快的获取。现在准备发布给一些渗透测试人员使用，希望能在功能上进一步完善。

     总结一下，本渗透测试工具有如下特点：

     1、数据库全：基本上覆盖目前所有的数据库类型
     2、速度快：应用了联合查询语句，在关闭了所有错误提示的情况下也能迅速获取数据，而绝不是一个字母一个字母的猜解
     3、功能多：每个数据库类型都会对应几乎最大化的功能利用
     4、检查方式准确：手工操作最少的情况下有最大的准确度
另外，本工具还有以下一些特点：

a 支持代理
b 支持手动设置任何HTTP标题头，包括User-Agent以及Cookie等信息。这个在一些需要登录的网站且存在验证码时很有用。
c 支持HTTPS