pangolin运用教法.pdf

第一章、简介 1.1 Pangolin 是什么？ Pangolin 是一款帮助渗透测试人员进行Sql 注入测试的安全工具。所谓的SQL 注入测 试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情 况下出现的漏洞，从而达到获取、修改、删除数据，甚至控制数据库服务器、Web 服 务器的目的的测试方法。Pangolin 能够通过一系列非常简单的操作，达到最大化的攻击 测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。 过去有许多Sql 注入工具，不过有些功能不完全，支持的数据库不够多，或者是速度比 较慢。但是，在Pangolin 发布以后，这些问题都得到了解决。Pangolin 也许是目前已 有的注入工具中最好的之一。 1.2 使用 Pangolin 可以用来 如下是一些示例：  渗透测试人员用于发现目标存在的漏洞并评估漏洞可能产生后果的严重程度  网站管理员可以用于对自己开发的代码进行安全检测从而进行修补  安全技术研究人员能够通过Pangolin来更多更深入的理解SQL 注入的技术细节 1.3 特色 如下是Pangolin 提供的一部分特点：  全面的数据库支持  独创的自动关键字分析能够减少人为操作且更判断结果准确  独创的内容大小判断方法能够减少网络数据流量  最大话的Union 操作能够极大的提高SQL 注入操作速度  预登陆功能，在需要验证的情况下照样注入  代理支持  支持HTTPS  自定义HTTP 标题头功能  丰富的绕过防火墙过滤功能  注入站（点）管理功能  数据导出功能  ……等其他更多 1.4 它不能做什么 Pangolin 只是一个注入验证利用工具，不是一个Web 漏洞扫描软件。因此您不能用它 来做整网站的扫描。另外，他也不支持注入目录遍历等功能，这些功能您可以借助其他 的安全工具进行。 1.5 到哪里获取 Pangolin Pangolin 的更新速度很快，你可以经常到/web/pangolin 去下 载必威体育精装版版本。 1.6 运行环境 目前Pangolin 只能运行在Windows 系统平台，支持32 位/64 位Windows NT/2000/XP/2003/Vista/2008。 1.7 报告问题和获取帮助 如果您在使用过程中有任何的意见或者建议，您可以到 网站上 进行评论留言，这里会有一群共同兴趣的朋友帮助您。或者您可以直接给我发送邮件： zwell@。 第二章、用户界面 下图为主界面图 如上图所示，我们可以看到Pangolin 的主界面是很简单明了的，它分为几个区域：最 上面的是注入控制区域，在这里您可以进行一些注入参数设置，以及通过点击按钮进入 到高级配置界面；中间的一大块区域为数据显示区域，用于显示注入获取的数据已经进 行针对不同数据库的高级注入操作；下面有日志信息区还有状态栏区，能够告诉您当前 的工作状态信息。下面我们就这些控件进行详细的说明： 2.1.1 URL 输入框 在这里输入待测试目标的URL 地址，注意，该URL 地址必须是携带参数的格式，例如 /news.asp?id=100 这样的格式。 2.1.2 注入方式选择框 这里简单的介绍一下。HTTP 常用的数据传输方法有GET 和POST 方式，通常情况下， 请求数据用GET 方式，传递数据用POST 方式。如果服务器端代码处理GET 和POST 参数的操作是一致的话（JSP 编程中经常可以见到），那么通过GET 和POST 传递参 数的效果是一样的。这时使用POST 试可以避免服务端日志的产生。 另外需要注意的是，如果待测参数是通过表单传递，那么您需要进行地址拼接。假设参 数传递的目标地址为/login.asp，参数分别为username 和 password，那么测试时，您需要在URL 输入框中输入 /login.asp?username=aapassword=bb 这样的格式，并且将 注入方式设置成POST。 普通模式下，我们建议您使用GET 方式。 2.1.3 注入控制按键 Pangolin 的注入过程采用了多线程的方式，您在注入过程中随时可以进行暂停/继续操 作和停止操作。 在您输入了待测试目标的URL 后，您可以点击Check 进行扫描操作，这时Check 按键 变灰，Pause 和Stop 按键变为可用，这时您就可以进行暂停或中止操作了。 这里提醒您一点