sanaki's Freesoft part85(SQL Injector ReadMe)

SQL Injection に対して、自動ツールです

ver1.0.0.0 (未公開) 最初のバージョン
ver1.0.0.1 (2004/06/30) バグ・フィックス
ver1.0.0.2 (2004/07/07) バグ・フィックス
ver1.0.0.3 (未公開) バグ・フィックスと、LIKE 総当り機能の追加
ver1.0.0.4 (未公開) バグ・フィックスと、文字種決定の総当りの追加
ver1.0.0.5 (未公開) 少し、高速化
ver1.0.0.6 (未公開) バグ・フィックスと、文字種の初期化ボタンの追加
ver1.0.0.7 (未公開) バグ・フィックス
ver1.0.0.9 (未公開) 文字種の初期化ボタンを廃止。文字種セットとして「2byteな非漢字」「第一水準漢字」「第二水準漢字」「英大文字」「英小文字」「半角数字」「半角記号」のが選択できるようにした。(moji_chk ver1.9.0.0 に実装)
ver1.1.0.0 (未公開) Content-Length のバグ・フィックス
ver1.1.0.1 (未公開) Content-Length のバグ・フィックス
ver1.1.0.2 (2005/11/10) Content-Length のバグ・フィックス
ver1.1.0.3 (2006/03/19) バグ・フィックス、日本語文字コード変換機能を導入(チェック文章[終了条件]が SJIS 以外でもチェックできるようにした)
ver1.1.0.4 (2008/05/24) アイコンを透過アイコンにした
ver1.1.0.5 (2008/06/11) マクロ文字「%s%」の色を変更できるようにした。HTTP リクエストのデフォルト文字のフォント設定をできるようにした。共通関数をアップデートしたので、MIMEメッセージもそれなりに色分けされるでしょう。
ver1.1.0.6 (2008/06/15) テキストを一行ずつ送り込む処理が、一文字ずつになっていたというバグ修正。SQL エスケープしていなかったバグ修正(Like 句をどうしようかと悩む...)。細かいバグフィックス。
ver1.1.0.7 (2008/06/21) 送り込むテキストに対して URL エンコードを実施するオプションを用意した(sCOMURLEncode.dll が必要)
ver1.1.0.8 (2009/06/21) 「Content-Length」の処理について、警告を出すようにした
サーバが応答しなくなった場合にリトライをするオプションを追加した
ver1.1.0.9 (2009/07/04) 内部処理を少し見直した。「Clear」ボタンでログが全部消去されていたが、途中結果だけは、残すようにした
SQLEscape/URLEncode 処理のバグ修正
その他、複数のバグ修正
ver1.1.0.10 (2010/11/10) GUI のバグ修正をいくつか
ver1.1.0.11 (2011/12/07) ToolTip に「Connection: closeは明示した方が良い」と追記。(Tomcat などは HTTP/1.0 でも Connection:Keep-Alive を既定で行ってくるので)
ver1.2.0.0 (2014/11/21) 致命的なバグ(Content-Lengthの自動計算ミス)の修正。ライセンス形態を変更し、以降は「修正BSDライセンス」とする

内容 Blind SQL Injection を手作業で行うのは大変なので、作った。

機能

数値の特定
null の個数の特定
ファイルから一行ずつ読み込んだデータを埋め込む

動作環境 直接的に必要な環境は以下です。

VisualBASIC6.0 の(WinSock.ocx を含む)汎用的なランタイムが必要。
sComHTTP.dll
moji_chk.dll

以下のモジュールを入れていると便利になるかも

IBM ProTalker97 の COM ラッパー
URLエンコードを行う COM コンポーネント
MS-Office がインストールされていると、Officeアシスタントが登場するかも
文字コード変換ライブラリ NKF32.dll の COM ラッパ (ver1.1.0.3～)
文字コード変換ライブラリ sUT8com.dll (ver1.1.0.3～)

また、レジストリ HKCU\Software\VB and VBA Program Settings\SQLInjector 以下を使っています。

使用方法

まず、VisualBASIC6.0 のランタイムを Vector などからダウンロードしてインストールします。
(ランタイムが既にインストールされていれば必要ありません)
moji_chk.dllをインストールします
sComHTTP.dllをインストールします
ダウンロードしたファイルを解凍しします。
(ＬＨＡは、吉崎栄泰氏が、著作権を所有)
後は、SQLInjector.exe を実行するだけ。

免責など 悪用厳禁です。
許可されたネットワーク/サーバに対してのみ、かつセキュリティ検査作業において使用してください。
このソフトが不正使用されたことによる責任は持ちません。

著作権は保持します。(とりあえず)
このソフトを使用したことによって生じた、
いかなる損害についても責任は持ちません。

ソースコードについても、各自の責任において改変する事については、自由に行って頂いて結構です。
「参考になったよ」メールを投げてくれると嬉しいです。(*^_^*)

Version1.2.0.0DownLoad(SQLInjector.lzh as 65,351byte) (SQLInjector.lzh.base64)

mail to active@window.goukaku.com