BBQSQL — среда для SQL инъекций

BBQSQL — среда для SQL инъекций, написанная на Python. ПО является чрезвычайно полезным при атаке сложных уязвимостей SQL-инъекций. BBQSQL также является полуавтоматическим инструментом, предоставляющий довольно много настроек для тех, кому тяжело работать с SQL инъекциями. Инструмент построен для того чтобы быть базой данных agnostic и весьма разносторонней. Он также имеет интуитивно понятный пользовательский интерфейс, чтобы сделать настройку атак намного проще. Python gevent также реализован в данном ПО, что делает BBQSQL чрезвычайно быстрым.

BBQSLQ можем помочь решить проблемы, когда нужно реализовать собственное ПО для проведения атак.

Характеристики

Самое главное, что нужно отметить о BBQSQL является то, что он не заботится о данных или базах данных, в то время как большинство инструментов инъекции SQL построены с конкретными базами данных.

• эксплойты для слепой уязвимости SQL-инъекции;
• полуавтоматический;
• База Данных Агностик;
• разносторонний;
• использует два метода поиска (binary_search & frequency_search);
• одновременные HTTP-запросы;
• импорт/Экспорт Конфигурации;
• пользовательские Крючки;
• быстрый.

Использование

Подобно другим инструментам внедрения SQL, вы должны предоставить определенную информацию запроса для работы инструмента, для BBSQL это:

• URL-АДРЕС;
• метод http;
• Заголовки;
• Файлы cookie;
• Метод кодирования;
• Поведение перенаправления;
• Файлы;
• Http Auth;
• Полномочия.

Затем укажите, какой синтаксис вы хотите использовать и какой каталог вы хотите атаковать.

root@darknet:~# bbqsql
    _______   _______    ______    ______    ______   __       
   |       \ |       \  /      \  /      \  /      \ |  \      
   | $$$$$$$\| $$$$$$$\|  $$$$$$\|  $$$$$$\|  $$$$$$\| $$      
   | $$__/ $$| $$__/ $$| $$  | $$| $$___\$$| $$  | $$| $$      
   | $$    $$| $$    $$| $$  | $$ \$$    \ | $$  | $$| $$      
   | $$$$$$$\| $$$$$$$\| $$ _| $$ _\$$$$$$\| $$ _| $$| $$      
   | $$__/ $$| $$__/ $$| $$/ \ $$|  \__| $$| $$/ \ $$| $$_____ 
   | $$    $$| $$    $$ \$$ $$ $$ \$$    $$ \$$ $$ $$| $$     \
    \$$$$$$$  \$$$$$$$   \$$$$$$\  \$$$$$$   \$$$$$$\ \$$$$$$$$
                     \$$$                \$$$ 

                   _.(-)._
                .'         '.
               / 'or '1'='1  \
               |'-...___...-'|
                \    '='    /
                 `'._____.'` 
                  /   |   \
                 /.--'|'--.\
              []/'-.__|__.-'\[]
                      |
                     [] 

    BBQSQL injection toolkit (bbqsql)         
    Lead Development: Ben Toews(mastahyeti)         
    Development: Scott Behrens(arbit)         
    Menu modified from code for Social Engineering Toolkit (SET) by: David Kennedy (ReL1K)    
    SET is located at: http://www.secmaniac.com(SET)    
    Version: 1.0               
    
    The 5 S's of BBQ: 
    Sauce, Spice, Smoke, Sizzle, and SQLi
    


 Select from the menu:

   1) Setup HTTP Parameters
   2) Setup BBQSQL Options
   3) Export Config
   4) Import Config
   5) Run Exploit
   6) Help, Credits, and About

  99) Exit the bbqsql injection toolkit

bbqsql>

Параметры HTTP

BBQSQL имеет множество параметров http, которые можно настроить при настройке атаки. Как минимум, вы должны указать URL-адрес, где вы хотите запустить инжекционный запрос, и метод. Можно установить следующие параметры:

• Файлы
• заголовки
• файлы cookie
• url-адрес
• allow_redirects
• полномочия
• данные
• метод
• автор

Вы указываете, куда вы хотите вставить инжекционный запрос с помощью шаблона ${injection}. Без шаблона инъекции инструмент не будет знать, куда вставить запрос.