Pangolin的使用方法教程.doc

第一章、简介 1.1 Pangolin是什么？ Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞，从而达到获取、修改、删除数据，甚至控制数据库服务器、Web服务器的目的的测试方法。Pangolin能够通过一系列非常简单的操作，达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。 过去有许多Sql注入工具，不过有些功能不完全，支持的数据库不够多，或者是速度比较慢。但是，在Pangolin发布以后，这些问题都得到了解决。Pangolin也许是目前已有的注入工具中最好的之一。 1.2 使用Pangolin可以用来 如下是一些示例： 渗透测试人员用于发现目标存在的漏洞并评估漏洞可能产生后果的严重程度 网站管理员可以用于对自己开发的代码进行安全检测从而进行修补 安全技术研究人员能够通过Pangolin来更多更深入的理解SQL注入的技术细节 1.3 特色 如下是Pangolin提供的一部分特点： 全面的数据库支持 独创的自动关键字分析能够减少人为操作且更判断结果准确 独创的内容大小判断方法能够减少网络数据流量 最大话的Union操作能够极大的提高SQL注入操作速度 预登陆功能，在需要验证的情况下照样注入 代理支持 支持HTTPS 自定义HTTP标题头功能 丰富的绕过防火墙过滤功能 注入站（点）管理功能 数据导出功能 ……等其他更多 1.4 它不能做什么 Pangolin只是一个注入验证利用工具，不是一个Web漏洞扫描软件。因此您不能用它来做整网站的扫描。另外，他也不支持注入目录遍历等功能，这些功能您可以借助其他的安全工具进行。 1.5 到哪里获取Pangolin Pangolin的更新速度很快，你可以经常到/web/pangolin去下载最新版本。 1.6 运行环境 目前Pangolin只能运行在Windows系统平台，支持32位/64位Windows NT/2000/XP/2003/Vista/2008。 1.7 报告问题和获取帮助 如果您在使用过程中有任何的意见或者建议，您可以到网站上进行评论留言，这里会有一群共同兴趣的朋友帮助您。或者您可以直接给我发送邮件：zwell@。 第二章、用户界面 下图为主界面图 如上图所示，我们可以看到Pangolin的主界面是很简单明了的，它分为几个区域：最上面的是注入控制区域，在这里您可以进行一些注入参数设置，以及通过点击按钮进入到高级配置界面；中间的一大块区域为数据显示区域，用于显示注入获取的数据已经进行针对不同数据库的高级注入操作；下面有日志信息区还有状态栏区，能够告诉您当前的工作状态信息。下面我们就这些控件进行详细的说明： 2.1.1 URL输入框 在这里输入待测试目标的URL地址，注意，该URL地址必须是携带参数的格式，例如/news.asp?id=100这样的格式。 2.1.2 注入方式选择框 这里简单的介绍一下。HTTP常用的数据传输方法有GET和POST方式，通常情况下，请求数据用GET方式，传递数据用POST方式。如果服务器端代码处理GET和POST参数的操作是一致的话（JSP编程中经常可以见到），那么通过GET和POST传递参数的效果是一样的。这时使用POST试可以避免服务端日志的产生。 另外需要注意的是，如果待测参数是通过表单传递，那么您需要进行地址拼接。假设参数传递的目标地址为/login.asp，参数分别为username和password，那么测试时，您需要在URL输入框中输入/login.asp?username=aapassword=bb这样的格式，并且将注入方式设置成POST。 普通模式下，我们建议您使用GET方式。 2.1.3 注入控制按键 Pangolin的注入过程采用了多线程的方式，您在注入过程中随时可以进行暂停/继续操作和停止操作。 在您输入了待测试目标的URL后，您可以点击Check进行扫描操作，这时Check按键变灰，Pause和Stop按键变为可用，这时您就可以进行暂停或中止操作了。 这里提醒您一点，在后面我们提到的所有的操作，无论是猜解数据也好，高级功能操作也好，在操作过程中，您随时可以暂停或者中止，但是Check按键只能用于注入扫描。 2.1.4 注入类型选择框 扫描不同的参数类型我们将注入类型分为interger和String还有Search型。分别对应数值型，字符型还有搜索型。在扫描到注入点以后，该选择框将自动选择对应的注入类型。 在注入前，如果我们已知了某个参数的注入类型，那么我们可以先从该下拉框中选择合适的值，这样能够缩短注入扫描的时间。 2.1.5 数据库类