今天給大家介紹一款名叫SQLiv的批量SQL注入漏洞掃描工具。

功能介紹

1. 批量域名掃描SQL注入漏洞；
2. 掃描指定域名（帶爬蟲功能）；
3. 反向域名掃描；

SQL注入漏洞掃描以及域名資訊檢測都是採用多程序方式進行的，所以指令碼的執行速度會非常快，並能夠同時掃描多個URL地址。

工具的安裝與執行

使用者可以使用下列命令安裝和執行SQLiv：

git clonehttps://github.com/Hadesy2k/sqlivulscan.git

sudo python2 setup.py -i

依賴元件

1. bs4
2. termcolor
3. google

預安裝系統

BlackArchLinux

快速教程

1. 使用SQLi dork進行批量域名掃描

使用者可以利用給定dork輕鬆地進行批量域名掃描，然後對掃描結果進行一一檢測：

python sqliv.py-d <SQLI DORK> -e <SEARCH ENGINE> 
python sqliv.py -d "inurl:index.php?id=" -egoogle

2. 指定目標掃描

使用者可以在掃描引數中指定需要掃描的域名或URL地址；

如果提供的是域名，SQLiv將會對該域名進行爬取，並獲取URL地址，然後在對爬取到的URL地址一一進行漏洞掃描：

python sqliv.py-t <URL>  
python sqliv.py-t www.example.com  
python sqliv.py-t www.example.com/index.php?id=1
 

3. 反向域名掃描

進行反向域名掃描，搜尋同一主機下託管的其他網站：

python sqliv.py -t <URL> -r

檢視幫助資訊

python sqliv.py --help

usage: sqliv.py [-h] [-d D] [-e E] [-p P][-t T] [-r]

optional arguments:
  -h,--help  show this help message and exit
  -dD        SQL injection dork
  -eE        search engine [Google only fornow]
  -pP        number of websites to look forin search engine
  -tT        scan target website
 -r          reverse domain
 

工具執行截圖

開發人員

blackvkng

the-c0d3r

待新增的功能

1. 整合Duckduckgo搜尋引擎；
2. 為SQLi漏洞測試新增POST表單支援；