BBQSQL — среда для SQL инъекций
BBQSQL — среда для SQL инъекций, написанная на Python. ПО является чрезвычайно полезным при атаке сложных уязвимостей SQL-инъекций. BBQSQL также является полуавтоматическим инструментом, предоставляющий довольно много настроек для тех, кому тяжело работать с SQL инъекциями. Инструмент построен для того чтобы быть базой данных agnostic и весьма разносторонней. Он также имеет интуитивно понятный пользовательский интерфейс, чтобы сделать настройку атак намного проще. Python gevent также реализован в данном ПО, что делает BBQSQL чрезвычайно быстрым.

BBQSLQ можем помочь решить проблемы, когда нужно реализовать собственное ПО для проведения атак.
Характеристики
Самое главное, что нужно отметить о BBQSQL является то, что он не заботится о данных или базах данных, в то время как большинство инструментов инъекции SQL построены с конкретными базами данных.
- эксплойты для слепой уязвимости SQL-инъекции;
- полуавтоматический;
- База Данных Агностик;
- разносторонний;
- использует два метода поиска (binary_search & frequency_search);
- одновременные HTTP-запросы;
- импорт/Экспорт Конфигурации;
- пользовательские Крючки;
- быстрый.
Использование
Подобно другим инструментам внедрения SQL, вы должны предоставить определенную информацию запроса для работы инструмента, для BBSQL это:
- URL-АДРЕС;
- метод http;
- Заголовки;
- Файлы cookie;
- Метод кодирования;
- Поведение перенаправления;
- Файлы;
- Http Auth;
- Полномочия.
Затем укажите, какой синтаксис вы хотите использовать и какой каталог вы хотите атаковать.
root@darknet:~# bbqsql _______ _______ ______ ______ ______ __ | \ | \ / \ / \ / \ | \ | $$$$$$$\| $$$$$$$\| $$$$$$\| $$$$$$\| $$$$$$\| $$ | $$__/ $$| $$__/ $$| $$ | $$| $$___\$$| $$ | $$| $$ | $$ $$| $$ $$| $$ | $$ \$$ \ | $$ | $$| $$ | $$$$$$$\| $$$$$$$\| $$ _| $$ _\$$$$$$\| $$ _| $$| $$ | $$__/ $$| $$__/ $$| $$/ \ $$| \__| $$| $$/ \ $$| $$_____ | $$ $$| $$ $$ \$$ $$ $$ \$$ $$ \$$ $$ $$| $$ \ \$$$$$$$ \$$$$$$$ \$$$$$$\ \$$$$$$ \$$$$$$\ \$$$$$$$$ \$$$ \$$$ _.(-)._ .' '. / 'or '1'='1 \ |'-...___...-'| \ '=' / `'._____.'` / | \ /.--'|'--.\ []/'-.__|__.-'\[] | [] BBQSQL injection toolkit (bbqsql) Lead Development: Ben Toews(mastahyeti) Development: Scott Behrens(arbit) Menu modified from code for Social Engineering Toolkit (SET) by: David Kennedy (ReL1K) SET is located at: http://www.secmaniac.com(SET) Version: 1.0 The 5 S's of BBQ: Sauce, Spice, Smoke, Sizzle, and SQLi Select from the menu: 1) Setup HTTP Parameters 2) Setup BBQSQL Options 3) Export Config 4) Import Config 5) Run Exploit 6) Help, Credits, and About 99) Exit the bbqsql injection toolkit bbqsql>
Параметры HTTP
BBQSQL имеет множество параметров http, которые можно настроить при настройке атаки. Как минимум, вы должны указать URL-адрес, где вы хотите запустить инжекционный запрос, и метод. Можно установить следующие параметры:
- Файлы
- заголовки
- файлы cookie
- url-адрес
- allow_redirects
- полномочия
- данные
- метод
- автор
Вы указываете, куда вы хотите вставить инжекционный запрос с помощью шаблона ${injection}
. Без шаблона инъекции инструмент не будет знать, куда вставить запрос.