Pangolin号称很牛的注入工具

说明：Pangolin在经过一些朋友提出宝贵的修改建议之后已经比较稳定了，但是还有许多功能尚在开发当中，现在先提供一份1.2.4.584版本的下载地址。由于马上要过年了，最近也比较忙，因此在年前不再提供版本
升级，年后添加一些新功能再统一提供升级版本。

在这里也做个申明：Pangolin开发的初衷是用于给渗透测试人员进行安全评估测试时使用，请勿在未授权的情况下
使用他进行攻击操作，否则一切后果自负。

一、简介
Pangolin是一款Windows平台下的自动化SQL注入渗透测试工具。他实现了从检测到利用完成一体化的渗透攻击动作，
尽可能的将SQL注入攻击效果最大化。很明显，他是个大男人。; )
使用平台：Windows XP SP1/SP2; Windows 2003 Server SP1; Windows Vista; 其他平台未测试，有测试过运行无误的朋友还望告知，谢谢。

二、功能
1.支持的数据库类型
它支持的数据库是目前最全的，包括：

* Access : Informations(Database Path; Root Path; Drivers); Data

* MSSql : Informations; Data; FileReader; RegReader; FileWriter; Cmd; DirTree

* MySql : Informations; Data; FileReader; FileWriter;

* Oracle : Inforatmions(Version; IP; Database; Accounts......); Data; and any others ; )

* Informix : Informatons; Data

* DB2 : Informatons; Data; and more ;)

* Sybase : Informatons; Data; and more ;)

* PostgreSQL : Informatons; Data; FileReader;

* Sqlite : Informatons; Data

目前大部分的注入工具都是针对MSSQL和Mysql再加上Oracle，Access的，对于其他中小型公司使用较少的DB2、Informix、Sybase、PostgreSQL以及Sqlite都涉及的非常少，其实这些系统也是可以做非常多的事情的。

2.详细功能
待整理

3.总结
数据库全：基本上覆盖目前所有的数据库类型
速度快：应用了联合查询语句，在关闭了所有错误提示的情况下也能迅速获取数据，而绝不是一个字母一个字母的猜解功能多：
每个数据库类型都会对应几乎最大化的功能利用
检查方式准确：手工操作最少的情况下有最大的准确度。独创的根据返回内容大小来尽可能的避免关键字;从1.2.3.577版本
开始加入了一个非常有用的功能: 能够自动分析关键字(无需用户手动输入） ; )
另外，本工具还有以下一些特点：
独创的“关键字自动分析”技术
能够绕过某些输入过滤防火墙
独创的valide size判断技术
支持代理
支持手动设置任何HTTP标题头，包括User-Agent以及Cookie等信息。这个在一些需要登录的网站且存在验证码时很有用。
支持HTTPS

三、配置
配置HTTP标题头
配置代理
配置扫描项
配置高级项

四、贡献者列表
在Pangolin的开发过程中，得到了许多朋友的支持和帮助，这里特别要感谢如下人员：
SuperHei <SuperHei@ph4nt0m.org>
Trace <tr4c3@126.com>
kj021320 <kj021320@gmail.com>
4ngle <4ngel@21cn.com>
鬼仔 <guizaicn@gmail.com>
牛博明 <phproot@gmail.com>
趙桂德 <zgdwyjsl@gmail.com>
傲少 <kankanwo@gmail.com>
hiicome <hiicome@qq.com>

五、使用问题集
如何使用代理？
目标系统不允许使用空格，这种情况下还能测试吗？
如何对需要登录的系统进行测试？
目标系统不允许使用select关键字，这种情况下还能测试吗？
为什么有些系统测试起来速度很快，而有些系统只能一个字符一个字符这样的猜呢？

六、界面预览

[1] [2] [3] 下一页