Havij是一款簡(jiǎn)單實(shí)用的SQL自動(dòng)化注入輔助工具。軟件不僅能夠自動(dòng)挖掘可利用的SQL 查詢,還能夠識(shí)別后臺(tái)數(shù)據(jù)庫類型、檢索數(shù)據(jù)的用戶名和密碼hash、轉(zhuǎn)儲(chǔ)表和列、從數(shù)據(jù)庫中提取數(shù)據(jù),甚至訪問底層文件系統(tǒng)和執(zhí)行系統(tǒng)命令。軟件支持廣泛的數(shù)據(jù)庫系統(tǒng),支持參數(shù)配置以躲避IDS,支持代理,后臺(tái)登陸地址掃描。
功能特點(diǎn):
1、支持?jǐn)?shù)據(jù)庫與注入方法
MSSQL 2000 / 2005錯(cuò)誤
MSSQL 2000 / 2005無錯(cuò)誤聯(lián)盟總部
MSSQL盲
MSSQL時(shí)基
基于MySQL的聯(lián)盟
MySQL盲
基于MySQL的錯(cuò)誤
MySQL的時(shí)間
基于Oracle的聯(lián)盟
基于Oracle錯(cuò)誤
Oracle盲
基于PostgreSQL的聯(lián)盟
基于MS訪問聯(lián)盟
MS Access盲
Sybase(ASE)
Sybase(ASE)Blind
2、HTTPS支持
3、多線程
4、代理支持
5、自動(dòng)信息服務(wù)器檢測(cè)
6、自動(dòng)參數(shù)類型檢測(cè)(字符串或整數(shù))
7、自動(dòng)關(guān)鍵詞檢測(cè)(發(fā)現(xiàn)正面和負(fù)面的反應(yīng)之間的區(qū)別)
8、自動(dòng)掃描所有參數(shù)。
9、嘗試完全不同的注射方法
10、替代房屋的選擇,…針對(duì)IDS或過濾器
11、避免開發(fā)字符串(繞過magic_quotes和類似的過濾器)
12、手動(dòng)注入語法支持
13、手動(dòng)查詢結(jié)果
14、強(qiáng)迫法外聯(lián)盟
15、隨機(jī)信號(hào)發(fā)生器
16、完全可定制的協(xié)議頭(如參考,用戶代理…)
17、從網(wǎng)站加載Cookie(s)進(jìn)行身份驗(yàn)證
18、加載HTML類型的輸入
19、協(xié)議基本和摘要認(rèn)證
20、注入統(tǒng)一資源定位器重寫頁面
21、繞過防火墻和類似防火墻ModSecurity的互聯(lián)網(wǎng)應(yīng)用
22、繞過webknight互聯(lián)網(wǎng)應(yīng)用防火墻和類似防火墻
23、即時(shí)結(jié)果