[ 网络安全] MartSQLI V1.0.0 (SQL注入自动获取服务器配置信息)
字数 1338 2025-08-10 21:10:14

MartSQLI V1.0.0 使用指南 - SQL注入自动获取服务器配置信息工具

工具概述

MartSQLI V1.0.0 是一个轻量级的Python工具,专门设计用于通过SQL注入漏洞自动获取MySQL服务器的配置信息。该工具适合在渗透测试和网络安全评估中使用,能够帮助安全研究人员快速识别数据库服务器的配置细节。

工具特点

  • 轻便小巧:相比SQLMAP等大型工具,MartSQLI更加精简
  • 针对性功能:专注于获取MySQL服务器配置信息
  • 简单易用:通过命令行参数即可快速配置和使用
  • 结果保存:自动将获取的信息保存到文本文件中

系统要求

  • Python 3.x 环境
  • 网络连接(用于与目标服务器通信)
  • 有效的SQL注入点

安装方法

  1. 从GitHub仓库克隆或下载工具:

    https://github.com/MartinxMax/MartSQLI

  2. 确保Python 3已安装并配置好环境

使用说明

基本命令格式

python3 MartSQLI.py -f <请求报文文件> -e <成功标志> -p "<注入点标记>"

参数详解

参数 描述 示例
-f 指定包含HTTP请求报文的文件路径 ./payload.txt
-e 指定SQL语句执行成功后页面中出现的标志性字符(用于判断注入是否成功) Login
-p 指定请求报文中需要替换的注入点标记 <@MARTIN>

使用步骤

  1. 捕获请求包

    • 使用Burp Suite、ZAP或其他抓包工具捕获包含SQL注入点的HTTP请求
    • 识别出可注入的参数位置

  2. 准备请求文件

    • 将捕获的请求保存为文本文件(如payload.txt)
    • 在注入点位置用特殊标记(如<@MARTIN>)替换实际注入内容

  3. 执行工具

    python3 MartSQLI.py -f ./payload.txt -e "success" -p "<@MARTIN>"

  4. 获取结果

    • 工具执行成功后,配置信息将保存为以-e参数命名的.txt文件
    • 例如:如果-e参数为"Login",则输出文件为Login.txt

技术原理

MartSQLI通过以下方式工作:

  1. 解析用户提供的HTTP请求模板
  2. 在标记的注入点插入特定的SQL查询语句
  3. 发送修改后的请求到目标服务器
  4. 分析响应内容,根据用户提供的成功标志判断注入是否成功
  5. 提取并解析服务器返回的配置信息

典型应用场景

  1. 渗透测试:在授权测试中识别数据库配置弱点
  2. 漏洞评估:验证SQL注入漏洞的存在性和影响范围
  3. 安全研究:收集数据库服务器信息用于进一步分析

注意事项

  1. 法律合规:仅在获得明确授权的情况下使用此工具
  2. 替代方案:对于复杂注入场景,建议使用SQLMAP等更强大的工具
  3. 风险提示:不当使用可能导致服务中断或法律后果
  4. 结果验证:工具输出应进行人工验证以确保准确性

输出示例

成功执行后,输出文件可能包含如下信息:

MySQL Server Configuration:
---------------------------
Version: 5.7.32-0ubuntu0.18.04.1
Basedir: /usr
Data directory: /var/lib/mysql
Plugin directory: /usr/lib/mysql/plugin
Server characterset: utf8mb4
System Timezone: UTC
Default authentication plugin: mysql_native_password

进阶技巧

  1. 自定义SQL查询:修改工具代码以执行特定的信息收集查询
  2. 批量测试:编写脚本自动化测试多个注入点
  3. 结果分析:将输出与其他漏洞扫描结果关联分析

开发者信息

  • 开发者:maptnh
  • 所属地:福建省
  • GitHub仓库:https://github.com/MartinxMax/MartSQLI
  • 发布时间:2023-06-05

免责声明

本工具仅限用于合法授权的安全测试和研究目的。使用者应自行承担因不当使用而产生的法律责任。工具作者不对任何滥用行为负责。

MartSQLI V1.0.0 使用指南 - SQL注入自动获取服务器配置信息工具 工具概述 MartSQLI V1.0.0 是一个轻量级的Python工具,专门设计用于通过SQL注入漏洞自动获取MySQL服务器的配置信息。该工具适合在渗透测试和网络安全评估中使用,能够帮助安全研究人员快速识别数据库服务器的配置细节。 工具特点 轻便小巧 :相比SQLMAP等大型工具,MartSQLI更加精简 针对性功能 :专注于获取MySQL服务器配置信息 简单易用 :通过命令行参数即可快速配置和使用 结果保存 :自动将获取的信息保存到文本文件中 系统要求 Python 3.x 环境 网络连接(用于与目标服务器通信) 有效的SQL注入点 安装方法 从GitHub仓库克隆或下载工具: 确保Python 3已安装并配置好环境 使用说明 基本命令格式 参数详解 | 参数 | 描述 | 示例 | |------|------|------| | -f | 指定包含HTTP请求报文的文件路径 | ./payload.txt | | -e | 指定SQL语句执行成功后页面中出现的标志性字符(用于判断注入是否成功) | Login | | -p | 指定请求报文中需要替换的注入点标记 | <@MARTIN> | 使用步骤 捕获请求包 : 使用Burp Suite、ZAP或其他抓包工具捕获包含SQL注入点的HTTP请求 识别出可注入的参数位置 准备请求文件 : 将捕获的请求保存为文本文件(如payload.txt) 在注入点位置用特殊标记(如 <@MARTIN>)替换实际注入内容 执行工具 : 获取结果 : 工具执行成功后,配置信息将保存为以 -e 参数命名的.txt文件 例如:如果 -e 参数为"Login",则输出文件为Login.txt 技术原理 MartSQLI通过以下方式工作: 解析用户提供的HTTP请求模板 在标记的注入点插入特定的SQL查询语句 发送修改后的请求到目标服务器 分析响应内容,根据用户提供的成功标志判断注入是否成功 提取并解析服务器返回的配置信息 典型应用场景 渗透测试 :在授权测试中识别数据库配置弱点 漏洞评估 :验证SQL注入漏洞的存在性和影响范围 安全研究 :收集数据库服务器信息用于进一步分析 注意事项 法律合规 :仅在获得明确授权的情况下使用此工具 替代方案 :对于复杂注入场景,建议使用SQLMAP等更强大的工具 风险提示 :不当使用可能导致服务中断或法律后果 结果验证 :工具输出应进行人工验证以确保准确性 输出示例 成功执行后,输出文件可能包含如下信息: 进阶技巧 自定义SQL查询 :修改工具代码以执行特定的信息收集查询 批量测试 :编写脚本自动化测试多个注入点 结果分析 :将输出与其他漏洞扫描结果关联分析 开发者信息 开发者:maptnh 所属地:福建省 GitHub仓库:https://github.com/MartinxMax/MartSQLI 发布时间:2023-06-05 免责声明 本工具仅限用于合法授权的安全测试和研究目的。使用者应自行承担因不当使用而产生的法律责任。工具作者不对任何滥用行为负责。