Releases: shack2/SuperSQLInjectionV1
超级SQL注入工具【SSQLInjection】V1.0 正式版 20201214
20201214
调整一次发包,不分开发送请求header和body,部分场景下无法正常请求。
20201126
优化获取数据结果由于分隔符被转义导致全部显示数据在第一列问题。
20201113
修复MySQL低版本union获取数据兼容性,增加cast转换,防止联合查询时低版本出现blob数据,无法正常获取数据。
20201112
修复MySQL注入,由于大小写处理了表名、字段、列名导致获取数据失败的问题。
cmd命令行增加一个编码选择,防止执行命令获取结果时中文乱码。
20200527 V1.0 正式版--
修复部分数据库的注入分隔符没同步问题,导致注入获取的数据无法拆分显示到第一个列里面。
优化随机值生成,当二次注入数据包也有随机值时,二次注入数据包中的随机值将使用注入请求包随机值用于对付注册登录这种二次注入,随机生成的用户名不变防止登录时用户名随机不能二次注入的问题。
mark(网鼎杯的某个注入题,就是这样,注册在登录,由于登录时不能使用注册的用户名登录就没法注入,另外还有个jwt的注入,下个版本更新支持。)
20200209 V1.0 正式版--
修复MySQL Union注入,部分情况下获取数据可能乱码的问题。
20191212 V1.0 正式版--
修复MYSQL部分情况下获取数据拆分字符混合,导致数据显示错乱。
增加发包失败的判断和关键词,识别到指定关键词时,认为此包无效,用于对付网络不稳定或数据库不稳定,发包未正确获得数据时导致结果错误问题。
修复当SQLServer读写文件时,选择了时间盲注时读写文件的exp构造错误,导致无法读写文件。
20190905 V1.0 正式版--
修复部分情况下自动识别注入,列数错误问题,导致无法识别Union注入,(二分法算法缺陷导致)。
修复SQLServer延时注入,执行命令和读取文件时,无法获取结果的问题。
修复SQLServer错误注入,无法显示数据问题。
20190903 V1.0 正式版--
修复代理导入崩溃问题。
20190902 V1.0 正式版--
修复批量扫描注入,无法扫描jsp页面注入问题。
修复批量注入,无法停止爬行链接的问题。
修复批量注入,少数情况,由于Host后面跟了端口,导致发包失败的问题。
修复批量注入,由于之前配置文件变更,导致无法加载盲注payload,而无法扫描盲注问题。
20190901 V1.0 正式版--
修复代理导入默认IP都变为127.0.0.1的问题。
20190830 V1.0 正式版--
修复HTTP自动识别编码部分情况错误问题。
优化HTTP发包,当状态码为0时,重新尝试发包,解决部分情况可能网络不稳定造成发包失败问题。
20190823 V1.0 正式版---
修复部分情况count()中号被过滤导致无法获取数据的情况。
优化检查Union注入时order by判断,降低错误判断列数的情况。
优化盲注二分法判断方式,提高效率。
20190813 V1.0 正式版---
修复发送数据超时时,按钮禁用未恢复。
修复更换文本显示框后由于换行符变更导致发包失败和无法自动检测注入的问题。
增加自动识别注入时,跳过配置文件设置的跳过参数。
20190812 V1.0 正式版---
修复上个版本,代码变更导致sqlserver盲注获取不到数据的问题。
修改配置增加sqlserver获取主机IP和hash的语句。
20190811 V1.0 正式版---
修复mysql由于存在空值导致显示数据的列不对应的问题。
修复sqlserver部分情况下,由于特殊字段类型,导致报错无法获取数据的问题。
修复上个版本编码转换全选报错问题。
20190810 V1.0 正式版---
修复在Oracle注入下,由于注入绕过的随机大小写和小写处理可能会将库名和表明处理,导致无法获取表名或列名的情况。
修复部分情况由于参数名和值在其他位置也可查找到,导致自动识别注入标记位置错误问题。
优化查找字符功能。
替换文本显示控件,方便放大缩小。
20190806 V1.0 正式版---
优化延时判断的时间,降低网络不稳定导致误报。
优化数据库判断,提高准确性。(首先错误信息判断,再延时判断,在盲注判断,如果前面两次判断出了数据库,这里在确认一次,如果没判断出来,这里在一次判断)
20190511 V1.0 正式版---
修复代理导入的BUG。
20190508 V1.0 正式版---
优化HTTP收包,在部分情况下实际响应有内容而Content-Length=0的情况下,没有读取数据的问题。
20190404 V1.0 正式版---
修复延时注入部分情况下无法获取数据的问题,优化注入判断。
20190403 V1.0 正式版---
修复因为导入配置文件编码有可能为空值导致无法正确解码而报错无法获取数据的问题。(程序异常提示:获取值发生异常:“”不是支持的编码名)。
20190319 V1.0 正式版---
修复环境变量无法复制问题。
修复MySQL部分情况下,当字段出现空值无法获取数据的问题。
20190310 V1.0 正式版---
新增支持自动判断延时注入。
20190303 V1.0 正式版---
新增支持Informix注入(盲注,延时,Union)。
修改配置文件。
20190120 V1.0 正式版---
修复HTTP代理验证错误问题。
优化界面。
20190116 V1.0 正式版---
修复betweent and绕过时,部分情况下可能没有进行处理的情况。
修复环境变量界面放大显示比例不协调问题。
20190115 V1.0 正式版---
修复数据中心获取数据显示表格,在超出显示范围时无法显示滚动条的问题。
优化HTTP收包解码操作。
20190113 V1.0 正式版---
修复20190108以后版本,HTTP收包在部分情况下,出现错误,无法正确获取数据包导致HTTP Body部分为空的情况。
优化盲注下数据库、表、列的显示方式,获取到一个字符立即更新界面。
20190112 V1.0 正式版---
修复在20181119版本以后,将HTTP请求分成2次发包在部分情况下可以绕过某些防护,但如果请求头中出现Connection: close时,二次发包时连接被关闭,无法收包的问题,最后无法获取HTTP响应,改为出现Connection: close不分开发送请求。
修复20190108以后的版本解压gzip部分情况下可能出现错误导致无法解压获得的HTTP响应为空的情况。
修复因为迅雷等软件独占系统粘贴板时,使用复制功能报错的问题,当复制不成功时,提示。
20190111 V1.0 正式版---
修复PostgreSQL,盲注部分情况下某些字段作为排序字段会出错,导致无法获取数据的情况。
修复PostgreSQL、SQLite、DB2显错和Union注入获取时,部分数据类型无法转换和存在空值导致无法获取的情况。
20190110 V1.0 正式版---
修复MySQL,由于库名或表名存在特殊字符,如“-”时,导致SQL语法错误而无法获取数据的情况,使用`转义符。
修复代理验证完成后,未关闭socket连接问题。
修复MySQL部分情况下判断Union注入使用注释符错误的问题。
优化自动识别注入时填充的字符长度,防止列长度较高时,GET请求长度超出限制。
20190108 V1.0 正式版---
新增配置文件拖动功能,可直接拖拽配置到界面上即可加载配置。
优化HTTP收包固定长度,导致部分情况下大数据包无法接收,同时降低内存申请,在大批量发包情况下不容易引发内存溢出。
20190107 V1.0 正式版---
修复PostgreSQL环境变量文件名称配置错误,导致无法正确加载环境变量配置。
新增优化代理功能,可在代理中心设置Socks5/HTTSP/HTTPS代理,可以固定单个代理,也可能从代理池中随机选择。
20190104 V1.0 正式版---
修复SQLServer盲注,由于表名替换错误,导致列获取不成功的问题。
优化配置文件。
新增支持SQLite数据库的注入,支持盲注和Union方式,暂不支持显错模式,SQLite支持3以上版本,如果是3以下版本,由于不支持部分函数,可能无法获取数据。
20190102 V1.0 正式版---
修复order by判断成功列数后,还是按照默认最大列数进行测试的问题。
修复字符替换时,将字符全转小写后在替换,导致部分情况下可能导致语句出错。
优化环境变量显示方式,可以选择想要获取的环境变量进行获取。
优化配置文件,优化绕过界面。
新增支持DB2数据库的注入,支持盲注和Union方式,暂不支持显错模式。
20181228 V1.0 正式版---
修复betweent and绕过时,部分情况可能没有进行处理的情况。
20181223 V1.0 正式版---
修复由于少数网站只支持TSL1.1和1.2版本,导致HTTPS发包失败的问题,增加HTTPS使用TSL1.1和1.2版本。
注意:由于.net framework 4.0不支持TSL1.1和1.2版本,您必须安装.net framework 4.0以上本版本,建议安装.net framework 4.5或.net framework 4.6版本
注意:由于XP/Server 03不能安装.net framework 4.0以上版本,所以暂时无法支持HTTPS TSL1.1和1.2版本,程序编译暂时还是使用.net framework 4.0,兼容XP/Server 03,所以在XP/Server 03暂时不支持HTTPS使用TSL1.1和1.2版本,可能导致少数情况无法进行https发包。
20181221 V1.0 正式版---
修复盲注关键字判断机制,自动识别时,关键字相同且状态码相同才认为是true页面,解决在部分情况下可能出现错误500页面也存在同样关键字的问题。
修改SQLServer查询列时,使用char函数方式,避免单引号被过滤导致无法获取列名的问题。
修复SQLServer 执行命令,读写文件时,可能由于语句报错而导致读写文件失败的问题,优化提高成功率。
修复betweent and绕过时,将16进制字符替换了,导致语句错误而无法获取数据的问题。
修复自动识别在某些情况下跳过了错误显示注入检查。
修复Union注入重复发包判断列情况。
修复自动识别注入,在部分情况下无法正确判断数据库类型的问题。
修改爆出注入配置文件,降低漏报。
优化自动识别注入,如果程序判断支持盲注,会自动尝试使用order by去判断页面列数,提高Union注入检查的速度。
新增支持注入PostgreSQL文件读写功能。
20181216 V1.0 正式版---
修复SQLServer延时盲注paylaod缺少and导致语句错误无法获取数据的问题。
修复优化自动识别注入漏报和选择类型错误的问题。
修复bool延时注入时,获取数据判断数据大小方式不正确的问题。
修复错误显示注入获取数据时,数据可能被HTML编码或转义到导致数据不正确的问题。
修复延时注入在正常页面响应速度非常快的情况下,由于计数器可能有误差,导致判断值不正确,而无法正确获取数据(设置了20*time毫秒的误差值)。
修复读取文件,执行命令无法使用延时判断问题。
优化配置文件。
新增支持注入PostgreSQL,目前可获取数据,执行命令和文件操作稍后版本更新。
20181212 V1.0 正式版---
修复MySQL盲注时,在某些情况下,获取的每列数据可能不对应的问题。
修复Oracle盲注获取数据的语句。
修复盲注时,提示需要配置Union注入问题。
优化配置文件,降低数据库类型漏报,增加oracle获取SYS_HASH的语句
20181210 V1.0 正式版---
修复上个版本betweent and绕过时,处理不当导致部分情况可能出现语句错误问题和无法自动识别注入问题。
优化代码。
20181209 V1.0 正式版---
修复上个版本betweent and绕过时,处理不当导致部分情况可能出现语句错误问题。
优化代码。
20181206 V1.0 正式版---
修改mysql获取的环境的配置文件,增加hash字段名为authentication_string的查询。
修复使用了betweent and饶过时,显错注入无法获取数据的情况。
修复MySQL显错注入,获取数据的每一列结果可能不对应的问题和部分情况可能出现中文乱码的情况。
20181205 V1.0 正式版---
优化注入配置文件,降低误报和漏报。
优化执行命令,文件读取模块解决部分情况无法执行命令或无法读取文件的情况。
修复SQLServer通过错误显示方式无法获取数据的情况。
优化部分代码。
增加自动识别注入记录,可将URL的每一个参数存在的盲注、报错注入、Union注入都记录下来,可灵活选择对应的注入类型。
20181119 V1.0 正式版---
优化HTTP发包,将http header和body分开发送,在某些情况下可以绕过安全防护。
修复获取数据时,在某些情况下,由于选择列变少,排序列未更新,导致会出现程序排序异常的情况。
20181117 V1.0 正式版---
库表列新增全选和反选功能。
优化底部日志显示,增加色彩。
修改配置文件,优化payload语句以及测试语句,提高自动识别准确率,降低误报和漏报。
注意:此版本开始注入标记不在是替换and 1=1,而且替换1=1这个位置的语句,所以在手工标记时,记得保留and或者or。
20181114 V1.0 正式版---
修复MySQL盲注以时间判断方式获取非英文字符时,因长度判断不当导致无法获取数据的情况。
20181113 V1.0 正式版---
把关键字描述改为判断值。
修复系统版本判断。
20180923 V1.0 正式版---
修复在xp/server 03上未做异常处理导致程序崩溃的问题。
20180921 V1.0 正式版---
新增IIS Unicode编码绕过,在一些特殊IIS环境下,可以使用Unicode编码来绕过注入防护。
20180917 V1.0 正式版---
修复盲注关键字判断方式无效的问题,上个版本增加功能,判断方式反了。
更新检查更新接口,程序会搜集系统安装id和当前使用版本号,用于统计分析。
20180827 V1.0 正式版---
新增支持二次注入,支持一些特殊的二次注入情况(注入发包一个页面,获取数据在另外一个页面的情况,只能在同一个应用下面的页面)。注意,线程的问题,因为多线程可能导致流程错乱,所以此模式下建议单线程。
绕过处理新增Hex(16进制)编码,处理一些特殊的16进制的注入情况。
修复验证关键字部分情况没考虑导致验证失败,Bool逻辑真假判断方式新增正则和长度大于和小于判断方式。
20180809 V1.0 正式版---
修复因为配置文件未变更,导致自动识别到的错误注入标记字符未更换的问题而无法获取数据的问题。
修改sqlserver执行命令时,部分情况下,因为标准导致插入执行命令的语句位置不正确导致无法正确执行命令。
20180421 V1.0 正式版---
新增rand随机值标记,解决例如注册用户功能存在注入,因为用户名重复而无法重复发包注入类似问题。
20180421 V1.0 正式版---
新增处理随机Token功能,绕过部分防重复提交限制进行注入。
优化sqlserver/mysql获取非英文字符的效率,减少发包次数。
20180420 V1.0 正式版---
修复20180308版本处理sqlserver盲注环境下cast转换出现的意外情况时,导致无法获取数据的情况。
20180308 V1.0 正式版---
修复sqlserver盲注环境下使用了cast转换无法进行大小判断导致无法获取数据的情况。
201801113 V1.0 正式版---
修复根据URL自动生成测试数据包时,如果是https的URL,没有自动选择ssl的情况。
20171227 V1.0 正式版---
修复部分情况下无法停止线程。
20171223 V1.0 正式版---
修复上次修改代码导致的几个错误。
修复自动识别无法判断Union注入的情况。
20171205 V1.0 正式版---
增加使用between绕过大于等于过滤的情况。
修复SQLServer在某些特殊情况下执行命令异常问题。
20171202 V1.0 正式版---
修改线程池控制,降低CPU占用,提高发包效率。
20170916 V1.0 正式版---
修复mysql盲注,由于没有对显示的变量赋值,导致数据为空值问题。
20170905 V1.0 正式版---
修复获取数据,在停止后,按钮还处于禁用状态的问题。
20170811 V1.0 正式版---
优化ascii码取值范围,减少发包次数。
修复获取数据时获取指定位置的数据是否存在时判断没加上开始下标。
修改SQLServer配置文件中获取public和db_owner在盲注情况下,由于数字无法作为substring函数的参数而报错的问题。
修改获取SQLServer版本信息的配置文件,只获取前60个字符,后面的基本没用就不获取了。
增加SQLServer延时注入。
20170726 V1.0 正式版---
修复部分情况下,部分关键字在使用/!/包含导致sql错误,无法获取数据的情况。
修复部分情况使用数字填充列无效的情况,增加系统自定义设置填充列,可使用数字1或null填充。
20170720 V1.0 正式版---
修复部分情况下,部分关键字在随机大小写或者转换大写或者小写时失效。
20170719 V1.0 正式版---
修复替换字符如果原字符是大写的,填写的字符是小写无法替换,现在全部转换小写之后在替换。
20170717 V1.0 正式版---
由于数组设置为1M长度,导致HTTP响应过长时无法获取响应内容,现改为如果有Content-Length以Content-Length为准,如果是其他方式传输,默认最大支持。10M长度。
20160321 V1.0 正式版---
老问题,又是临时测试改代码忘了改回来,导致MYSQL盲注无法获取数据。
MYSQL盲注添加一个空格,防止注入标记前面缺少空格时无法获取数据。
20160314 V1.0 正式版---
修复一个之前临时测试将+=改成了-=导致盲注取逻辑错误。
增加单独导出批量扫描注入的原始URL和测试URL。
20160224 V1.0 正式版---
修改导入配置时,当已经存在替换字符时,导入的配置存在相同替换字符会冲突。
修改获取执行命令结果时,在SQLServer显示错误注入下结果字符没有进行HTML解码操作。
修正MySQL延时注入部分情况不能获取数据的问题。
20160122 V1.0 正式版---
修改批量注入爬行链接时,清空地址后,再次导入地址无法爬行链接问题。
20160121 V1.0 正式版---
修改注入绕过Base64编码处理可以选择编码次数,解决部分情况,存在二次Base64编码的情况。
20160119 V1.0 正式版---
添加选择自动识别编码方式(限单个域名获取数据,防止部分网站指定的编码和实际使用的编码不一致),批量注入会默认采用自动识别编码。
修正替换字符因为添加模板引发的处理错误。
20160118 V1.0 正式版---
修正批量扫描注入部分情况跳过了检测参数。
优化批量注入爬行连接,导入域名。
修改自动更新模式,自动下载更新程序包。
优化自动识别注入算法,采用相似度算法。
优化HTTP发包性能,在遇到响应慢或无响应的服务器,线程将自动休眠一定时间,减少CPU死循环。
修正获取网页编码部分情况正则错误问题。
添加自动修改网页编码,当响应头没有编码时,根据HTML中编码进行解码, 都没有则采用默认编码。
修正HTTP解析时,当出现deflate方式,没有deflate解码。
20160116 V1.0 正式版---
修正部分情况自动识别找不到关键字问题。
修改批量扫描注入算法,识别更精准,误报漏报率更低。(低于1%)。
增加注入绕过模板功能,程序默认了几个模板,同时也可将当前注入绕过配置保存成模板,供以后使用。
20160108 V1.0 正式版---
修正注入绕过使用正则替换导致部分特殊字符无法替换。
修正排序中存在数字时没有按照数字大小排序。
调整批量扫描注入长度比阀值(固定长度大于等于1%,动态长度大于1%),大于此阀值就会提示存在注入。
优化批量扫描注入占用CPU过高的问题,大幅度提升发包效率。每秒可处理发送上百个数据包。
20160105 V1.0 正式版---
修正随机大小写时对库名表明进行随机大小写时部分情况会出现表不存在的问题。(对带有点的词不随机大小写)
增加盲注以网页响应Content-Length长度作为判断方式,解决极少数情况,在没有网页body时无法使用关键字判断的问题。
20160101 V1.0 正式版---
修改发包数量计数器。
修复扫描注入无法开始爬行链接问题。
修正SQLServer显错注入时,由于SQLServer对字符进行了HTML编码,没有解码的问题,所以把HTML解码加上。
修改配置文件判断Access的方法,加一个函数ascw判断。
20151227 V1.0 正式版---
修改发包数量计数方式。
显示发包总数。
增加根据URL生成请求数据包功能(手册2.1章节)。
更新手册,增加代理设置方法。
20151215 V1.0 正式版---
修复少数情况使用and判断MySQL不报错问题,已修改成or方式。
修复部分情况识别网页编码错误问题。
修复错误注入自动标记错误问题,手抖改了代码改出来的毛病。
优化自动识别注入测试payload。
20151204 V1.0 正式版---
修复自动识别注入时部分情况不自动标记。
修复读取批量注入跳过不检测参数时发生错误。
优化HTTP发包性能。
更新使用手册到1.5版本。
增加对于登录点的or类型的注入自动识别特征。
增加自动识别网页编码失败时,提示人工设置编码。
20151203 V1.0 正式版---
修复自动识别注入依靠状态码判断数字转换错误问题。
修复批量扫描注入右键菜单未正确清除URL问题。
在获取数据的表格增加右键菜单,清空,无法自动删除列时可以使用清空。
优化爬行连接时,去掉不标准的URL。
优化批量检测Bool型SQL注入的算法,降低误报率。
增加自动识别注入时自动识别网页编码。
增加接收数据包时自动根据header头部编码识别网页编码,如果没有编码才采用人工设置的编码。
20151118 V1.0 正式版---
优化性能。
增加延时盲注功能,目前延时盲注支持mysql...
超级SQL注入工具【SSQLInjection】V1.0 正式版 20201112
20201112
修复MySQL注入,由于大小写处理了表名、字段、列名导致获取数据失败的问题。
cmd命令行增加一个编码选择,防止执行命令获取结果时中文乱码。
超级SQL注入工具【SSQLInjection】V1.0 正式版 20200527
20200527 V1.0 正式版--
修复部分数据库的注入分隔符没同步问题,导致注入获取的数据无法拆分显示到第一个列里面。
优化随机值生成,当二次注入数据包也有随机值时,二次注入数据包中的随机值将使用注入请求包随机值用于对付注册登录这种二次注入,随机生成的用户名不变防止登录时用户名随机不能二次注入的问题。
mark(网鼎杯的某个注入题,就是这样,注册在登录,由于登录时不能使用注册的用户名登录就没法注入,另外还有个jwt的注入,下个版本更新支持。)
超级SQL注入工具【SSQLInjection】V1.0 正式版 20200209
20200209 V1.0 正式版--
修复MySQL Union注入,部分情况下获取数据可能乱码的问题。
超级SQL注入工具【SSQLInjection】V1.0 正式版 20191212
20191212 V1.0 正式版--
修复MYSQL部分情况下获取数据拆分字符混合导致,数据显示错乱。
增加发包失败的判断和关键词,识别到指定关键词时,认为此包无效,用于对付网络不稳定或数据库不稳定导致发包未正确获得数据时导致结果错误问题。
修复当SQLServer读写文件时,选择了时间盲注时读写文件的exp构造错误,导致无法读写文件。
超级SQL注入工具【SSQLInjection】V1.0 正式版 20190905
20190905 V1.0 正式版--
修复部分情况下自动识别列数错误问题,导致无法识别Union注入,(二分法算法缺陷导致)。
修复SQLServer延时注入,执行命令和读取文件时,无法获取结果的问题。
修复SQLServer错误注入,无法显示数据问题。
超级SQL注入工具【SSQLInjection】V1.0 正式版 20190903
20190903 V1.0 正式版--
修复代理导入崩溃问题。
超级SQL注入工具【SSQLInjection】V1.0 正式版 20190902
20190902 V1.0 正式版--
修复批量扫描注入,无法扫描jsp页面注入问题。
修复批量注入,无法停止爬行链接的问题。
修复批量注入,少数情况,由于Host后面跟了端口,导致发包失败的问题。
修复批量注入,由于之前配置文件变更,导致无法加载盲注payload,而无法扫描盲注问题。
超级SQL注入工具【SSQLInjection】V1.0 正式版 20190901
20190901 V1.0 正式版--
修复代理导入默认IP都变为127.0.0.1的问题。
超级SQL注入工具【SSQLInjection】V1.0 正式版 20190830
20190830 V1.0 正式版--
修复HTTP自动识别编码部分情况错误问题。
优化HTTP发包,当状态码为0时,重新尝试发包,解决部分情况可能网络不稳定造成发包失败问题。