Pangolin基本使用手册整理.pdf

第一章、简介 由 zwell 于 周四, 05/15/2008 - 13:34 提交。 1.1 Pangolin 是什么？ Pangolin 是一款帮助渗透测试人员进行 Sql 注入测试的安全工具。所谓的 SQL 注入测 试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情 况下出现的漏洞，从而达到获取、修改、删除数据，甚至控制数据库服务器、 Web 服 务器的目的的测试方法。 Pangolin 能够通过一系列非常简单的操作， 达到最大化的攻击 测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。 过去有许多 Sql 注入工具，不过有些功能不完全，支持的数据库不够多，或者是速度比 较慢。但是，在 Pangolin 发布以后，这些问题都得到了解决。 Pangolin 也许是目前已 有的注入工具中最好的之一。 1.2 使用 Pangolin 可以用来 如下是一些示例： 渗透测试人员用于发现目标存在的漏洞并评估漏洞可能产生后果的严重程度 网站管理员可以用于对自己开发的代码进行安全检测从而进行修补 安全技术研究人员能够通过 Pangolin 来更多更深入的理解 SQL 注入的技术细节 1.3 特色 如下是 Pangolin 提供的一部分特点： 全面的数据库 支持 独创的 自动关键字分析 能够减少人为操作且更判断结果准确 独创的 内容大小判断方法 能够减少网络数据流量 最大话的 Union 操作 能够极大的提高 SQL 注入操作速度 预登陆功能，在需要验证的情况下照样注入 代理支持 支持 HTTPS 自定义 HTTP 标题头功能 丰富的绕过防火墙过滤功能 注入站（点）管理功能 数据导出功能 …… 等其他更多 1.4 它不能做什么 Pangolin 只是一个注入验证利用工具，不是一个 Web 漏洞扫描软件。因此您不能用它 来做整网站的扫描。另外， 他也不支持注入目录遍历等功能， 这些功能您可以借助其他 的安全工具进行。 1.5 到哪里获取 Pangolin Pangolin 的更新速度很快，你可以经常到 /web/pangolin 去下 载最新版本。 1.6 运行环境 目前 Pangolin 只能运行在 Windows 系统平台，支持 32 位/64 位 Windows NT/2000/XP/2003/Vista/2008 。 1.7 报告问题和获取帮助 如果您在使用过程中有任何的意见或者建议，您可以到 网站上 进行评论留言，这里会有一群共同兴趣的朋友帮助您。或者您可以直接给我发送邮件： zwell@ 。 第二章、用户界面 下图为主界面图 如上图所示，我们可以看到 Pangolin 的主界面是很简单明了的，它分为几个区域：最 上面的是注入控制区域， 在这里您可以进行一些注入参数设置， 以及通过点击按钮进入 到高级配置界面； 中间的一大块区域为数据显示区域， 用于显示注入获取的数据已经进 行针对不同数据库的高级注入操作； 下面有日志信息区还有状态栏区， 能够告诉您当前 的工作状态信息。下面我们就这些控件进行详细的说明： 2.1.1 URL 输入框 在这里输入待测试目标的 URL 地址，注意， 该 URL 地址必须是携带参数的格式， 例如 /news.asp?id=100 这样的格式。 2.1.2 注入方