BBQSQL 介绍

BBQSQL是一种用Pyhthon写的SQL盲注框架。当发动狡猾的SQL注入漏洞攻击时,它将非常有用。BBQSQL也是半自动工具,允许许多难以触发的SQL注入变得用户化。该工具是与数据库无关的,其用法非常灵活。它也自带一个直观的UI用户界面,使设置攻击更容易。Python Gevent也很给力,使BBQSQL非常快速。

SQL盲注可能很难被利用。作为可用工具它们很高效,但当要写一些自定义的东西时它们则很难搞定了。这耗时又繁琐的。

BBQSQL可以解决以下问题:
  1.特征 (注意,BBQSQL最重要的是它不关心数据或数据库,而大多数SQL注入工具是要具体的数据库或语言建立的,)
  2.利用SQL盲注漏洞
  3.半自动
  4.与数据库无关
  5.多功能
  6.利用两种搜索技术(二元搜索和按频次搜索)
  7.并发的HTTP请求
  8.配置导入/导出
  9.自定义的Hooks
  10.高速

使用:(类似于其他的SQL注入工具,必须为它的运作提供一定的请求信息。)
  1.BBQSQL如下:
  2.URL
  3.HTTP方法
  4.标题
  5.Cookies
  6.编码方法
  7.重定向方式
  8.文件夹
  9.HTTP认证
  10.代理
  11.指定注入的位置和语法,

HTTP参数:(BBQSQL有许多HTTP参数配置时,便可以设置攻击。至少你必须提供想要注入发生的UR和方法。)
可以设置以下选项:
  1.文件夹
  2.标题
  3.Cookies
  4.URL
  5.允许重新使用
  6.代理
  7.数据
  8.方法
  9.认证
  10.使用模板 ${injection}. } 来插入SQL注入查询的位置。如果没有注入模板,工具将不知道从何下手,插入SQL注入。

资料来源:https://github.com/Neohapsis/bbqsql/

BBQSQL 首页
BBQSQL 源代码版本库

作者:BBQSQL
许可:BSD

包含在bbqsql里的工具

bbqsql - SQL注入开发工具

SQL盲注入漏洞检测工具。

bbqsql用法示例

:~# bbqsql
    _______   _______    ______    ______    ______   __      
   |       \
      \  /      \  /      \  /      \
 \      
   | $$$$$$$\| $$$$$$$\|  $$$$$$\|  $$$$$$\|  $$$$$$\| $$      
   | $$__/ $$| $$__/ $$| $$  | $$| $$___\$$| $$  | $$| $$      
   | $$    $$| $$    $$| $$  | $$ \$$    \
$$  | $$| $$      
   | $$$$$$$\| $$$$$$$\| $$ _| $$ _\$$$$$$\| $$ _| $$| $$      
   | $$__/ $$| $$__/ $$| $$/ \ $$|  \__| $$| $$/ \ $$| $$_____
   | $$    $$| $$    $$ \$$ $$ $$ \$$    $$ \$$ $$ $$| $$     \
    \$$$$$$$  \$$$$$$$   \$$$$$$\  \$$$$$$   \$$$$$$\ \$$$$$$$$
                     \$$$                \$$$

                   _.(-)._
                .'         '.
               / 'or '1'='1  \
               |'-...___...-'|
                \    '='    /
                 `'._____.'`
                  /       \
                 /.--'|'--.\
              []/'-.__|__.-'\[]
                      |
                     []

    BBQSQL injection toolkit (bbqsql)        
    Lead Development: Ben Toews(mastahyeti)        
    Development: Scott Behrens(arbit)        
    Menu modified from code for Social Engineering Toolkit (SET) by: David Kennedy (ReL1K)    
    SET is located at: http://www.secmaniac.com(SET)    
    Version: 1.0              
   
    The 5 S's of BBQ:
    Sauce, Spice, Smoke, Sizzle, and SQLi
   
 Select from the menu:

   1) Setup HTTP Parameters
   2) Setup BBQSQL Options
   3) Export Config
   4) Import Config
   5) Run Exploit
   6) Help, Credits, and About

  99) Exit the bbqsql injection toolkit

bbqsql>