ANTICHAT — форум по информационной безопасности, OSINT и технологиям

update:

Mssql inj

теперь все по взрослому - многопоточность на любом этапе и бла-бла-бла. Ничем теперь не отличается от mysql, никаких спец требований, устранение багов, добавление универсальности

Огромный риспект хотелось бы выразить [Razor] и Scipio - за два дня от них можно узнать о "не mysql inj" больше, чем за годы.

Аналогов в паблике нет

PS: Ms Access в разработке

update:

Ms Access SQL injection:

- POST/GET/Cookie/Proxy & etc.
- Возможности:
1. Определение кол-ва столбцов через order+by (надо указать ошибку, когда кол-во столбцов больше) - multithread
2. Брут имен таблиц - возможно добавлять префикс - tbl,tbl_, site_name & etc (multithread)
3. Брут имен колонок - возможно добавлять префикс - tbl,tbl_, site_name & etc (multithread)
4. Автоопределение принтабельной колонки
5. Дамп данных из таблицы (1 thread - специфика access)
6. Автоопределение типов данных при дампе (независимо от того, дампятся данные из одной колонки или нескольких и независимо от порядка их расстановки, т.е. дампите как обычно - id,name,email...)

Вывод на экран и запись в файл.

Видео: режим Ms Access SQL injection

Обновления в первом посте, скрипт в UTF-8

ооо спс юро ты выручаеш не тока меня своей тулзой. молодец, надо теперь постит на всех ресурсах где можно и на англоязычниках тоже, пусть наслаждаются.

PS. кстати насчет этого http://investorshub.advfn.com/boards/boards_moderated.asp?user=9999999999999'+and+1=1-- тулза не признает никак.

Идет перенаправление, по видимому фильтр (в том числе и на скобки). Тулза работает только со скулями доведенными хотя бы до состояния выяснения версии в mssql inj. Не надо делать из неё решателя всех ваших проблем. Вот когда ты мне покажешь скулю, где будет четко видна выясненная версия, и тулза с ней не справится, вот тогда.....тогда я тебе скажу в очередной раз, что ничего совершенного нет на этой планете

не надо пока ничего постить Еще надо sybase в нормальное состояние привести, postgresql сделать возможность работу на подзапросах и наконец Oracle и, может быть, кто-нибудь статью таки напишет про Interbase

А еще во всех видах sql inj есть блайнд....в общем еще очень много работы

update:

доделал Sybase - добавлено автоопределение типов данных + теперь можно дампить все записи (в один поток, но зато универсально, т.к. не все версии sybase поддерживают top+1)

упс сорри я сам не обновился, прекрасно работает на MS Access респект. Думаю тулзу в избранное надо переместит

Если сможеш добав еще словарей для брута табл/кол

Для access нигде нету чото, придется самим собирать, пока юзаются теже, что и в mysql

Тулза не раз выручал реально респект +1

меня каждый день выручает эх молодец ты Pashkela.

Есть одно замечание насчет тулзы:
Когда работаю на mysqli (4версия) при выборе таблы, чтобы брутит колонок тулза автоматом использует с параметра url:"" с MS ACCESS & Jet а не из самого Mysql url:""

Это я заметил когда c Access JET поработал и потом перезапустил тулзу чтоб работать с Mysqli.
Оба скули стандартные.
PS. имей ввиду