作者归档:kalilinux
SQL Server的WAITFOR DELAY注入
WAITFOR是SQL Server中Transact-SQL提供的一个流程控制语句。它的作用就是等待特定时间,然后继续执行后续的语句。它包含一个参数DELAY,用来指定等待的时间。如果将该语句成功注入后,会造成数据库返回记录和Web请求也会响应延迟特定的时间。由于该语句不涉及条件判断等情况,所以容[……]
Unix/Linux提权漏洞快速检测工具unix-privesc-check
unix-privesc-check是Kali Linux自带的一款提权漏洞检测工具。它是一个Shell文件,可以检测所在系统的错误配置,以发现可以用于提权的漏洞。该工具适用于安全审计、渗透测试和系统维护等场景。它可以检测与权限相关的各类文件的读写权限,如认证相关文件、重要配置文件、交换区文件、cr[……]
Oracle监听器刺探工具tnscmd10g
Oracle服务器通常都配置TNS,用来管理和配置客户端和数据库的连接。每个Oracle服务器都会运行一个TNS监听器进程tnslsnr用来处理客户端和服务器的数据传输。该接口默认工作在TCP 1521端口。由于该监听器在验证请求的身份之前,可以对部分命令进行响应,所以造成一定程度的漏洞。
K[……]
Oracle SID爆破工具SidGuess
在Oracle中,SID是System IDentifier的缩写。SID是一个数据库的唯一标识符。当用户希望远程连接Oracle数据库时,则需要知道SID、用户名、密码及服务器的IP地址。SidGuess就是一款根据字典爆破Oracle SID的工具。该工具的破解比较慢,每秒80-100个。该工具[……]
模糊测试工具Simple Fuzzer
模糊测试是一种不同于渗透测试的漏洞检测方式。它向目标系统发送各种非预期的输入,然后通过监视异常结果来发现漏洞。Kali Linux虽然作为渗透测试系统平台,但也提供了一些模糊测试工具,如Simple Fuzzer。
Simple Fuzzer工具具备全面的模糊测试功能,但使用非常简单。该工具提[……]
Web模糊测试工具Powerfuzzer
Powerfuzzer是Kali Linux自带的一款Web模糊测试工具。该工具基于各种开源模糊测试工具构建,集成了大量安全信息。该工具高度智能化,它能根据用户输入的网址进行自动识别XSS、SQL注入、CRLF、HTTP500等漏洞。同时,用户可以指定用户和密码等身份验证信息,也可以指定Cookie[……]
Oracle服务扫描工具Oscanner
Oracle是甲骨文公司推出的关系型数据库,适用于中大规模数据存储,如大型企业、电信、银行等行业。Kali Linux集成了Oracle服务扫描专向工具Oscanner。该工具使用Java语言编写。它可以采用字典方式,枚举Oracle服务的Sid、密码、版本号、账户角色、账户权限、账户哈希值、安全审[……]
分享Kali Linux 2017年第16周镜像文件
Linux安全漏洞审计工具Lynis
Lynis是针对类Unix系统的审计工具,它支持Unix、Linux、FreeBSD、Mac OS多种操作系统。它能对系统实施大于400种测试,以发现39个方面的漏洞和配置错误。该工具会生成详细的日志和报告。根据日志报告,用户可以进行响应的系统加固,从而避免常见的攻击和信息泄漏。
为了方便渗透[……]