黑客营(15):扫描尖兵之Pangolin
安全阵线
攻击性武器:Pangolin
软件特点:扫描的数据库类型多
Pangolin是一款功能强大的SQL注入检测软件。它可以检测网站系统中是否存在漏洞,可以获取网站数据库中的机密信息,可以远程修改或删除这些机密信息,甚至能帮助黑客控制数据库所在的服务器。
Pangolin最大的特色就是支持的数据库类型丰富,这样用户不用为了检测不同的网站,频繁更换各种安全检测工具。
下载并运行Pangolin后(它是收费软件,但是官方提供了试用版),点击“Edit”→“Language”菜单,选择其中的“简体中文”命令,这样软件的操作界面就变成了中文。接着,点击“编辑”菜单中的“配置”命令,在弹出的窗口里面选择“高级”标签,选择“替换空格使用”选项,在列表中选择“%09”(如图)。
这样软件就会在扫描的时候,将网址信息中的空格转换成字符%09,从而避免软件遇到空格不知道如何处理的情况出现。最后勾选“绕过防火墙当select不被允许的时候”选项,这样可以提高软件扫描的成功率。
设置完成以后,点击“扫描”菜单中的“检测”命令,软件就开始进行扫描。经过一段时间的扫描,如果网站存在SQL注入漏洞信息的话,软件就会弹出一个提示窗口。在窗口里面可以看到扫描的时间,SQL注入漏洞的地址,以及对应的数据库类型等信息。最后就是利用发现的SQL注入漏洞,分析破解数据库中的信息。
文中提到的黑客工具可以在网上下载,如果你没有找到,可以登录http://go.icpcw.com/g/hky.htm寻找相关信息。此外,我们还在电脑报官方论坛(http://bbs.icpcw.com)安全板块中,邀请“黑客营”的高手坐镇答疑,如果你遇到不懂的黑客知识或者在黑客工具使用过程中有什么疑问,可以寻求他们的帮助。
小贴士:
在窗口的“网址”输入框里面,可以输入目标网站的地址。这里需要特别说明的是,输入的网页地址必须是带差数的格式,例如http://www.xxx.com/wl.asp?ID=1088。如果Pangolin在扫描的时候,无法正常分析出关键词,用户可以在“关键词”里面自定义关键词。