Tr4c3注：可以用来注射mssql 2005的工具
来源：二少

作者：oldjun
早前在phpcms 0day频发的时候写的这个exp，藏着这个exp藏了一个多月吧，也没有拿它去打站，一直丢在我硬盘里，今天看到11期的黑防公布了，于是我也丢出来吧：

来源：凋凌玫瑰's blog

这是微软的针对asp源码的sql注入检测工具，因微软的是dos下，且只针对单个文件进行检测，所以这里写了个界面改进了一下，对整个目录的整站程序进程检测，有助于检测自己整站的sql注入问题，加强网站安全.

By：Neeao

据说是Neeao在ISF2008研讨会上的议题的ppt，主要是关于代码审计方面的一些东东，有兴趣的朋友看下了。

冷漠PS：基于时间差的SQL盲注技巧 2008 DEFCON 16全球黑客大会上发布的论文，和之前发布的盲注工具配合起来使用。

作者提出的技巧的主要思路是：在盲注（blind SQL injection）时，如果不同SQL injection 指令的结果，无法由 HTTP Response 本身得知，那么可以用时间差的方式判断。可以设计一个很耗时的 SQL 指令，这时如果 SQL injection 成功，那么这个SQL injection 指令的执行结果，会影响到 Web server 回复 HTTP response 的速度，这个就可以用来判断 SQL injection 指令执行的结果。

来源：网络搜集整理

当前，来自Web的各种攻击已经成为全球安全领域最大的挑战，并且有愈演愈烈之势。目前的难点在于，很多Web威胁的思路已经有别于传统，隐蔽、牟利、产业化已经成为了此类威胁的特点。对广大企业用户来讲，Web威胁令人无法忽视，而相关防御技术的应用与保护也同样充满挑战。

本文翻译自微软博客上刊载的相关文章，英文原文版权归原作者所有，特此声明。

原文：http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx

本文译言地址：http://www.yeeyan.com/articles/view/hanguofeng/8955

来源：Hack57
受影响系统：
WordPress wpSS <= 0.6 v
不受影响系统：
WordPress wpSS 0.62

官方已经修正该漏洞
#Author: Whytt & Tr4c3[at]126[dot]com
#版权所有:http://www.nspcn.org & [BK瞬间群] & Whytt
#漏洞文件tags.asp
#影响版本:
3.13-20060429 [access & mssql]

来自：鬼仔 Blog
作者：小幽
功能: CMDSHELL, 文件上传, 文件列表管理, 文件读取,自定义MSSQL SEHLL 安装,……..

来源：Neeao's Security Blog

漏洞发布：yamato[BCT]

发布日期：2008-2-15

-------------------------------------
注：本站首发，转载请保留，谢谢！
http://www.neeao.com
Neeao's Security Blog

PS:在鬼仔那看到的,已经发布了..
说明：Pangolin在经过一些朋友提出宝贵的修改建议之后已经比较稳定了，但是还有许多功能尚在开发当中，现在先提供一份1.2.4.584版本的下载地址。由于马上要过年了，最近也比较忙，因此在年前不再提供版本升级，年后添加一些新功能再统一提供升级版本。

#!/usr/bin/perl
use LWP::UserAgent;
use Getopt::Long;

#########################################################################
            zBlog v1.2  Remote SQL Injection Exploit
#########################################################################