Kali Linux渗透工具Java自动化SQL注入工具——jSQL Injection使用技巧

声明：【最全资料库】所有分享，仅做学习交流，切勿用于任何不法用途，否则后果自负！

一、jSQL是什么？

jSQL是一款使用java开发的Web渗透测试工具，在Kali Linux自带，无需自己安装，开箱即用！它主要用于发现远程数据库的漏洞信息。

jSQL是免费开源的，还支持跨平台，支持Windows, Linux, Mac OS等。一开始该工具主要实施SQL注入，后来增加管理页面暴力扫描、敏感文件猜测、Web shell等功能，形成一个综合性的Web渗透测试工具。

二、jSQLInjection有哪些功能？支持哪些操作？

支持自动注入多种种数据库：

多种注入策略：Normal, Error, Blind和Time

多种注入结构：Standard, Zipped, Dump In One Shot

SQL Engine用于研究和优化SQL表达式

注入多个目标

搜索管理页面

Webshell和SQL shell的创建和虚拟化

使用注入在主机上读写文件

密码的哈希强制

对字符串进行编码和解码

三、SQL注入攻击是什么？【复习】

我们知道，不管用什么语言编写的Web应用，它们都用一个共同点，具有交互性并且多数是数据库驱动。黑客或渗透测试人员往往通过构造恶意的SQL语句，注入到后端数据库执行，非法获取相应的数据或内容！在网络中，数据库驱动的Web应用随处可见，由此SQL注入是一种常见的web安全漏洞，攻击者利用这个漏洞，可以访问或修改数据，或者进行其他一系列攻击。

四、SQL注入有哪些攻击方式？【复习】

SQL注入的攻击方式有以下三种：

1.可显注入：攻击者可以直接在当前界面内容中获取想要获得的内容

2.报错注入：数据库查询返回结果并没有在页面中显示，但是应用程序将数据库报错信息打印到了页面中，所以攻击者可以构造数据库报错语句，从报错信息中获取想要获得的内容

3.盲注：数据库查询结果无法从直观页面中获取，攻击者通过使用数据库逻辑或使数据库库执行延时等方法获取想要获得的内容.