SQL Hunter 第二版 | 一个针对多个页面的URL(盲)SQL注入扫描器

作者:Sec-Labs | 发布时间:

项目地址

https://github.com/3a7/SQLi-Hunter-v2

SQLi-Hunter-v2

SQL Hunter的第二个版本。 SQLi Hunter 是一个用于多页面的 URL(盲)SQL 注入检查器。

什么是 SQLi Hunter v2?

SQLi Hunter v2 是一个 python 程序,用于检查 URL 中的 SQL(和盲注)注入漏洞。 该程序旨在易于使用、实用和有益。 该工具的目的是将其包含在您的道德漏洞赏金狩猎方法中。 未经许可,请勿在任何网站上使用此工具。

87f43f48f6164118

 

在 Kali Linux 中检查 SQL 盲注,并收到命中。

e1708e8fed164128

 

在 Windows 中检查 SQL 注入。

SQLi Hunter v2 的一些特性

  • 检查多个页面中的 SQL 注入。
  • 检查多个页面中的 SQL 盲注。
  • 检查单个 URL 中的多个参数(如果有)。
  • 在电报上接收易受攻击的页面(点击)的能力。
  • 所有 SQL 注入检测器和错误都可以在配置文件夹中自定义。
  • 在检查之前清除不需要的 URL 的能力(不包含任何参数的 URL)
  • 检查时提供代理。
  • 可定制的用户代理和线程数量。

SQLi Hunter v2 中的手册页

C:\Users\a7\Desktop\SQLi Hunter v2>python "SQLi Hunter v2.py" -h
usage: SQLi Hunter v2.py [-h] [--blind] [--blind-timeout <int>] -url URL or FILE [--clean] [--proxy <FILE>]
                         [--proxy-type PROXY_TYPE] [-t <int>] [--timeout <int>] [--telegram] [--user-agent <str>] [-v]

options:
  -h, --help            show this help message and exit
  --blind               To tell the program that you want to test for blind SQL injection. Default detectors in
                        config/blind-SQLi-detectors.txt. You can change it if you want.
  --blind-timeout <int>
                        The blind sql detector timeout. ex. if the detector asks the website to wait 2 seconds, write
                        2 here. Default is 5 seconds
  -url URL or FILE      Could be a single URL or a file of URL's to check, ex (-url file.txt) or (-url
                        https://example.com/page.php?id=2
  --clean               Clean un-wanted URL's before checking.
  --proxy <FILE>        Use proxies file to check the URL's
  --proxy-type PROXY_TYPE
                        Proxies type (HTTP/S, SOCKS4 or SOCKS5)
  -t <int>              Amount threads. Default is 10
  --timeout <int>       The amount of milliseconds to wait until making a request to the next link (is it has the same
                        domain) to avoid false DoS attack against the domain. Default is 0 (one second is 1000)
  --telegram            To get hits on telegram, you can provide your bot's token and your telegram ID in this file
                        config/tele.txt in this format token/id
  --user-agent <str>    Specify certain user-agent. Default is random
  -v                    Increase verbosity

安装 SQLi Hunter v2

  1. 在 Linux 发行版上,您可以使用 git clone https://github.com/3a7/SQLi-Hunter-v2
  2. 安装要求 pip install -r requirements.txt
  3. 赋予SQLi Hunter v2.py文件执行权 chmod +x 'SQLi Hunter v2.py'
  4. 运行程序! 前任。 python 'SQLi Hunter v2.py' -url urls.txt --clean -v

该程序适用于所有不同的操作系统

测试于

  • Linux 发行版
  • Windows 10 和 11
  • Android(Termux 应用程序或任何运行 python 文件的应用程序)
  • iPhone(Pythonista)。

笔记

  • 您可以使用不同的工具来获取特定网站上的页面。 像 GAUhakrawler 这样的工具可以帮助你。
  • 以后我会继续更新 prorgam,所以时不时检查存储库。
  • 如果您在运行该程序时遇到任何问题,请考虑通过电报 (@A7_acc) 或 Instagram (@a7.acc) 与我联系,我会帮助您解决问题。

标签:工具分享, SQL注入, 漏洞扫描器