鬼仔's Blog

鬼仔注：发布了。

说明：Pangolin在经过一些朋友提出宝贵的修改建议之后已经比较稳定了，但是还有许多功能尚在开发当中，现在先提供一份1.2.4.584版本的下载地址。由于马上要过年了，最近也比较忙，因此在年前不再提供版本升级，年后添加一些新功能再统一提供升级版本。
在这里也做个申明：Pangolin开发的初衷是用于给渗透测试人员进行安全评估测试时使用，请勿在未授权的情况下使用他进行攻击操作，否则一切后果自负。

Name: Pangolin
Version: 1.2.4.584
Author: ZwelL
Updated: 2008.01.22
Link: http://www.nosec.org/web/index.php?q=pangolin
Download: pangolin_bin.rar

一、简介
Pangolin是一款Windows平台下的自动化SQL注入渗透测试工具。他实现了从检测到利用完成一体化的渗透攻击动作，尽可能的将SQL注入攻击效果最大化。很明显，他是个大男人。; )
使用平台：Windows XP SP1/SP2; Windows 2003 Server SP1; Windows Vista; 其他平台未测试，有测试过运行无误的朋友还望告知，谢谢。

二、功能
1.支持的数据库类型

2.详细功能
待整理
3.总结
数据库全：基本上覆盖目前所有的数据库类型
速度快：应用了联合查询语句，在关闭了所有错误提示的情况下也能迅速获取数据，而绝不是一个字母一个字母的猜解功能多：
每个数据库类型都会对应几乎最大化的功能利用
检查方式准确：手工操作最少的情况下有最大的准确度。独创的根据返回内容大小来尽可能的避免关键字;从1.2.3.577版本开始加入了一个非常有用的功能: 能够自动分析关键字(无需用户手动输入） ; )
另外，本工具还有以下一些特点：
独创的“关键字自动分析”技术
能够绕过某些输入过滤防火墙
独创的valide size判断技术
支持代理
支持手动设置任何HTTP标题头，包括User-Agent以及Cookie等信息。这个在一些需要登录的网站且存在验证码时很有用。
支持HTTPS

三、配置
配置HTTP标题头
配置代理
配置扫描项
配置高级项

四、贡献者列表
在Pangolin的开发过程中，得到了许多朋友的支持和帮助，这里特别要感谢如下人员：
SuperHei <[email protected]>
Trace <[email protected]>
kj021320 <[email protected]>
4ngle <[email protected]>
鬼仔 <[email protected]>
牛博明 <[email protected]>
趙桂德 <[email protected]>
傲少 <[email protected]>
hiicome <[email protected]>

五、使用问题集
如何使用代理？
目标系统不允许使用空格，这种情况下还能测试吗？
如何对需要登录的系统进行测试？
目标系统不允许使用select关键字，这种情况下还能测试吗？
为什么有些系统测试起来速度很快，而有些系统只能一个字符一个字符这样的猜呢？

六、用实际行动支持Pangolin
你可以通过邮件[email protected]联系我，或者加我的MSN:[email protected]一起探讨如何对Pangolin进行不断的改进。
当然，我也希望有兴趣的安全公司对我进行“非精神方面”的支持，；）这样您能在第一时间内获取到最新版本，最全功能的Pangolin。

七、下载
下载地址: http://seclab.nosec.org/security/pangolin_bin.rar

八、软件截图