Havij
Havij(简称:胡萝卜):是一款用于sql注入的工具,他支持MySQL、MSSql、Oracle、Sybase等数据库,而且可以支持盲注、代理、免杀等措施!
Havij是一款用于SQL注入的工具,支持多种数据库,包括MySQL、MSSql、Oracle、Sybase等,并且可以支持盲注、代理、免杀等措施。使用Havij可以快速检测和利用SQL注入漏洞,方便安全测试人员进行渗tou测试和漏洞利用。
功能
- 支持主流数据库包括MySQL/Oracle/Access等数据库
- 支持SQL注入项目保存和加载
- 支持MD5在线破jie
- 支持后台管理页面查找
- 支持WAF等防火墙绕过
- 支持图形化的数据库、表、列、数据导出
使用
[开启注入]
将可能存在注入点的URL地址放入Havij的[target]框中
请用管理员运行,否则提示需要register
更简单的方式是
加载cookie信息
[注入日志]
http://172.16.70.132/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#
http://172.16.70.132/mutillidae/index.php?page=user-info.php&username=123& password=123&user-info-php-submit-button=View+Account+Details
注:若注入得到的数据库有问题(乱码),可以 重启靶机或重置靶机数据库
[详细信息]
[查看数据]
Get DBS -> Get Tables -> Get Columns -> Get Data
[保存数据]
(拖ku)tuo裤
[MD5破jie]
[寻找后台]
[高级设置]
[头部设置]
若此页面需要登录信息,则可以通过[Settings]加 载
cookie信息
http认证
[回避设置]
绕开软件防火墙和waf
[盲注设置]
实战
搜索注入点
通过google或者shadon
开启SQL注入
查看详细信息
查看数据库信息
查找管理员账号信息
搜索后台管理页面
登录后台管理页面
