SQL Ninja merupakan sebuah tool yang digunakan untuk SQL Injection dan merupakan tools untuk megambil alih database. Pada intinya SQL Ninja adalah alat yang ditargetkan untuk mengeksploitasi kelemahan SQL Injection pada aplikasi web yang menggunakan Microsoft SQL Server sebagai back end-nya dan juga sebagian lainnya.
Tujuan utama SQL Ninja adalah untuk menyediakan akses remote pada server database yang memiliki kerentanan, bahkan di lingkungan yang sangat secure sekalipun. Hal ini juga bisa digunakan oleh penetration tester untuk membantu dan mengotomatisasi proses dalam mengambil alih Server DB ketika kerentanan SQL Injection telah ditemukan.
Fitur yang tersedia:
Fingerprint of the remote SQL Server (version, user performing the queries, user privileges, xp_cmdshell availability, DB authentication mode)
Bruteforce of ‘sa’ password (in 2 flavors: dictionary-based and incremental)
Privilege escalation to sysadmin group if ‘sa’ password has been found
Creation of a custom xp_cmdshell if the original one has been removed
Upload of netcat (or any other executable) using only normal HTTP requests (no FTP/TFTP needed)
TCP/UDP portscan from the target SQL Server to the attacking machine, in order to find a port that is allowed by the firewall of the target network and use it for a reverse shell
Direct and reverse bindshell, both TCP and UDP
ICMP-tunneled shell, when no TCP/UDP ports are available for a direct/reverse shell but the DB can ping your box
DNS-tunneled pseudo-shell, when no TCP/UDP ports are available for a direct/reverse shell, but the DB server can resolve external hostnames (check the documentation for details about how this works)
Evasion techniques to confuse a few IDS/IPS/WAF
Integration with Metasploit3, to obtain a graphical access to the remote DB server through a VNC server injection
Integration with churrasco.exe, to escalate privileges to SYSTEM on w2k3 via token kidnapping
Support for CVE-2010-0232, to escalate the privileges of sqlservr.exe to SYSTEM
Requirement:
Sql Ninja menggunakan Perl, sehingga yang dibutuhkan adalah install Perl dan beberapa module berikut jika tidak ada secara default:
* NetPacket
* Net-Pcap
* Net-DNS
* Net-RawIP
* IO-Socket-SSL
* Net-Pcap
Anda juga akan memerlukan Metasploit Framework Minimum 3 di komputer anda untuk menggunakan modus serangan menggunakan metasploit, dan juga install VNC client jika Anda menggunakan payload VNC.
Jika sesuatu berjalan salah, sebaiknya anda mengaktifkan output verbose ketika install (-v opsi) dan / atau debugging (-d) harus menyediakan beberapa petunjuk. SQL Ninja bekerja pada system Gentoo, namun sqlninja telah dicoba untuk bisa berjalan pada sistem operasi berikut:
Linux
FreeBSD
Mac OS X
PENTING HARUS DI BACA :
Tags: anda, bisa, bruteforce, db server, evasion techniques, fitur, hacker tools, Injection, jika, menyediakan, Metasploit, microsoft sql server, Shell, Sql Injection, sql server version, target network, tcp udp ports, UDP, untuk, VNC
MV SAYA HANYA BISA TAMPILKAN GAMBAR KERJA SQL NINJA UNTUK VIDEO SAYA BLUM BISA TAMPILKAN.MGKIN NANTI SAYA SHERE CARA KERJA SQL NINJA..BIAR LEBIH DIPAHAMI..OTAK YANG MASIH BASIC.
[You must be registered and logged in to see this link.]
Tujuan utama SQL Ninja adalah untuk menyediakan akses remote pada server database yang memiliki kerentanan, bahkan di lingkungan yang sangat secure sekalipun. Hal ini juga bisa digunakan oleh penetration tester untuk membantu dan mengotomatisasi proses dalam mengambil alih Server DB ketika kerentanan SQL Injection telah ditemukan.
Fitur yang tersedia:
Fingerprint of the remote SQL Server (version, user performing the queries, user privileges, xp_cmdshell availability, DB authentication mode)
Bruteforce of ‘sa’ password (in 2 flavors: dictionary-based and incremental)
Privilege escalation to sysadmin group if ‘sa’ password has been found
Creation of a custom xp_cmdshell if the original one has been removed
Upload of netcat (or any other executable) using only normal HTTP requests (no FTP/TFTP needed)
TCP/UDP portscan from the target SQL Server to the attacking machine, in order to find a port that is allowed by the firewall of the target network and use it for a reverse shell
Direct and reverse bindshell, both TCP and UDP
ICMP-tunneled shell, when no TCP/UDP ports are available for a direct/reverse shell but the DB can ping your box
DNS-tunneled pseudo-shell, when no TCP/UDP ports are available for a direct/reverse shell, but the DB server can resolve external hostnames (check the documentation for details about how this works)
Evasion techniques to confuse a few IDS/IPS/WAF
Integration with Metasploit3, to obtain a graphical access to the remote DB server through a VNC server injection
Integration with churrasco.exe, to escalate privileges to SYSTEM on w2k3 via token kidnapping
Support for CVE-2010-0232, to escalate the privileges of sqlservr.exe to SYSTEM
Sql Ninja menggunakan Perl, sehingga yang dibutuhkan adalah install Perl dan beberapa module berikut jika tidak ada secara default:
* NetPacket
* Net-Pcap
* Net-DNS
* Net-RawIP
* IO-Socket-SSL
* Net-Pcap
Anda juga akan memerlukan Metasploit Framework Minimum 3 di komputer anda untuk menggunakan modus serangan menggunakan metasploit, dan juga install VNC client jika Anda menggunakan payload VNC.
Jika sesuatu berjalan salah, sebaiknya anda mengaktifkan output verbose ketika install (-v opsi) dan / atau debugging (-d) harus menyediakan beberapa petunjuk. SQL Ninja bekerja pada system Gentoo, namun sqlninja telah dicoba untuk bisa berjalan pada sistem operasi berikut:
Linux
FreeBSD
Mac OS X
PENTING HARUS DI BACA :
Tags: anda, bisa, bruteforce, db server, evasion techniques, fitur, hacker tools, Injection, jika, menyediakan, Metasploit, microsoft sql server, Shell, Sql Injection, sql server version, target network, tcp udp ports, UDP, untuk, VNC
MV SAYA HANYA BISA TAMPILKAN GAMBAR KERJA SQL NINJA UNTUK VIDEO SAYA BLUM BISA TAMPILKAN.MGKIN NANTI SAYA SHERE CARA KERJA SQL NINJA..BIAR LEBIH DIPAHAMI..OTAK YANG MASIH BASIC.
[You must be registered and logged in to see this link.]
» Cheat Point Blank 3-4 september 2014 Auto HS, Ammo, WH, ESP, Macro Mouse, Skill Hack, Damage, HP 120, Anti PI, Anti Banned
» Cheat Point Blank Update Terbaru 2014 + Wallhack,Ammo, 1 Hit,Auto Headshot DLL
» Cheat Point Blank Wallhack 1 HIT 17-18 Agustus 2014, Anti Banned, ALL OS WORK 1000%
» Cheat PB Point Blank Spesial Kemerdekaan 2014 EXP WALLHACK + AUTO HS + 1Hit+Damage 70% Anti Error Dan Vote kick
» Cheat Point Blank 14=20 AGUSTUS 2014 D3D Menu 1 HIT Full Wallhack
» Cheat PB 10-20 2014 Full WH, Baret, Akurasi, SG Kuat, Dll
» Release 29-31 Juli 2014 ( SELAMAT HARI RAYA IDUL FITRI 1435 H ) Cheat Point Blank Jokowi Version Pekalongan Kommunity ( Wallhack, 1 Hit, Skill, No Recoil , Fly / terbang Hack ,1 Hit Sg, AWP Lurus , Ammo, Quick Change, Fullhack
» G-CASH GENERATOR 2014 - 2015 WORK 1000%