Pangolin – The best sql injector you’ve ever seen

鬼仔注:发布了。

说明:Pangolin在经过一些朋友提出宝贵的修改建议之后已经比较稳定了,但是还有许多功能尚在开发当中,现在先提供一份1.2.4.584版本的下载地址。由于马上要过年了,最近也比较忙,因此在年前不再提供版本升级,年后添加一些新功能再统一提供升级版本。
在这里也做个申明:Pangolin开发的初衷是用于给渗透测试人员进行安全评估测试时使用,请勿在未授权的情况下使用他进行攻击操作,否则一切后果自负。

Name: Pangolin
Version: 1.2.4.584
Author: ZwelL
Updated: 2008.01.22
Link: http://www.nosec.org/web/index.php?q=pangolin
Download: pangolin_bin.rar

一、简介
Pangolin是一款Windows平台下的自动化SQL注入渗透测试工具。他实现了从检测到利用完成一体化的渗透攻击动作,尽可能的将SQL注入攻击效果最大化。很明显,他是个大男人。; )
使用平台:Windows XP SP1/SP2; Windows 2003 Server SP1; Windows Vista; 其他平台未测试,有测试过运行无误的朋友还望告知,谢谢。

二、功能
1.支持的数据库类型

2.详细功能
待整理
3.总结
数据库全:基本上覆盖目前所有的数据库类型
速度快:应用了联合查询语句,在关闭了所有错误提示的情况下也能迅速获取数据,而绝不是一个字母一个字母的猜解功能多:
每个数据库类型都会对应几乎最大化的功能利用
检查方式准确:手工操作最少的情况下有最大的准确度。独创的根据返回内容大小来尽可能的避免关键字;从1.2.3.577版本开始加入了一个非常有用的功能: 能够自动分析关键字(无需用户手动输入) ; )
另外,本工具还有以下一些特点:
独创的“关键字自动分析”技术
能够绕过某些输入过滤防火墙
独创的valide size判断技术
支持代理
支持手动设置任何HTTP标题头,包括User-Agent以及Cookie等信息。这个在一些需要登录的网站且存在验证码时很有用。
支持HTTPS

三、配置
配置HTTP标题头
配置代理
配置扫描项
配置高级项

四、贡献者列表
在Pangolin的开发过程中,得到了许多朋友的支持和帮助,这里特别要感谢如下人员:
SuperHei <[email protected]>
Trace <[email protected]>
kj021320 <[email protected]>
4ngle <[email protected]>
鬼仔 <[email protected]>
牛博明 <[email protected]>
趙桂德 <[email protected]>
傲少 <[email protected]>
hiicome <[email protected]>

五、使用问题集
如何使用代理?
目标系统不允许使用空格,这种情况下还能测试吗?
如何对需要登录的系统进行测试?
目标系统不允许使用select关键字,这种情况下还能测试吗?
为什么有些系统测试起来速度很快,而有些系统只能一个字符一个字符这样的猜呢?

六、用实际行动支持Pangolin
你可以通过邮件[email protected]联系我,或者加我的MSN:[email protected]一起探讨如何对Pangolin进行不断的改进。
当然,我也希望有兴趣的安全公司对我进行“非精神方面”的支持,;)这样您能在第一时间内获取到最新版本,最全功能的Pangolin。

七、下载
下载地址: http://seclab.nosec.org/security/pangolin_bin.rar

八、软件截图











相关日志

发表评论