오늘은 간단하게 Pangolin 사용법을 알아보도록 하겠습니다.
Pangolin은 Injection Tool입니다.
windows7에서는 windowvista new버전을 설치하면 됩니다.
사용법 1)
초기화면은 아래와 같습니다.
SQL Injection Tool을 사용할 때 주의할 점은 URL을 잘 찾아봐야 한다는 점입니다.
Injection이 통할만한 URL을 찾아야 합니다. Tool이 그 URL로 인젝션을 시도하기 때문에 당연하겠지만 DB와 연동되는 화면의 URL을 넣어야 합니다.
저는 게시물 보기 페이지의 URL을 선택했습니다.
|
http://192.168.10.128/board/borad_view.asp?num=2 |
위의 URL을 적어주고 'Go'버튼을 눌러줍니다. 그러면 정보를 불러오게 됩니다.
'ALL'을 누르면 Table 정보를 불러옵니다.
해당 Table을 누르면 오른쪽에 Column이 뜨고 'Datas'를 누르면 데이터를 불러옵니다.
사용법 2)
보통 이런 툴에는 관리자 페이지를 탐색하는 기능이 있습니다.
[Tool]-[Admin Page Discover]를 눌러줍니다.
대상 URL을 적어주고, 찾을 페이지의 확장자도 적어준 후 'Start'를 눌러줍니다.
결과화면입니다.
결과에 관리자 페이지가 안나오는 경우가 있는데 그 결과만 보고 관리자 페이지가 없다고 생각하면 안됩니다.
툴은 자신이 가지고 있는 패턴만을 사용해 찾기 때문에 패턴에 벗어난 페이지는 못 찾습니다.
툴이 이용하는 패턴 정보는 아래의 파일에 적혀있습니다.
