havij是一款簡單實(shí)用的sql數(shù)據(jù)庫自動(dòng)化注入工具，havij集成了自動(dòng)參數(shù)類型檢測、自動(dòng)關(guān)鍵詞檢測以及手動(dòng)注入語法支持等功能，能夠滿足不同階段的網(wǎng)絡(luò)工程師使用。

【軟件介紹】

Havij(SQL注入軟件)是一款十分優(yōu)秀的SQL自動(dòng)化注入工具。想找個(gè)sql注入工具？Havij(SQL注入軟件)是你最佳選擇。軟件不僅能夠自動(dòng)挖掘可利用的SQL 查詢，還能夠識別后臺數(shù)據(jù)庫類型、檢索數(shù)據(jù)的用戶名和密碼hash、轉(zhuǎn)儲表和列、從數(shù)據(jù)庫中提取數(shù)據(jù)，甚至訪問底層文件系統(tǒng)和執(zhí)行系統(tǒng)命令。軟件支持廣泛的數(shù)據(jù)庫系統(tǒng)，支持參數(shù)配置以躲避IDS，支持代理，后臺登陸地址掃描。

【特色介紹】

1、Havij適用于各個(gè)階段的網(wǎng)絡(luò)工程師。
2、軟件經(jīng)常更新，功能全面。
3、軟件體積小巧，操作簡單。
4、只需要注冊控件即可使用。

【功能介紹】

1、支持的數(shù)據(jù)庫使用注入方法：
MSSQL 2000/2005 with error
MSSQL 2000/2005 no-error union-based
MSSQL blind
MSSQL time-based
MySQL union-based
MySQL blind
MySQL error-based
MySQL time-based
Oracle union-based
Oracle error-based
Oracle blind
PostgreSQL union-based
MS Access union-based
MS Access blind
Sybase (ASE)
Sybase (ASE) Blind

2、支持HTTPS
3、多線程
4、支持代理
5、自動(dòng)數(shù)據(jù)庫服務(wù)器檢測
6、自動(dòng)參數(shù)類型檢測（字符串或整數(shù)）
7、自動(dòng)關(guān)鍵字檢測（找出正面和負(fù)面反應(yīng)之間的差異）
8、自動(dòng)掃描所有參數(shù)
9、嘗試不同的注入語法
10、通過/ ** /，+，...替換IDS或過濾器替換空間的選項(xiàng)
11、避免使用字符串（繞過magic_quotes和類似的過濾器）
12、手動(dòng)注入語法支持
13、帶結(jié)果的手動(dòng)查詢

14、強(qiáng)迫非法結(jié)合
15、隨機(jī)簽名生成器
16、完全可自定義的HTTP標(biāo)頭（如referer，用戶代理......）
17、從網(wǎng)站加載cookie以進(jìn)行身份??驗(yàn)證
18、加載html表單輸入
19、HTTP基本和摘要式身份驗(yàn)證
20、注入U(xiǎn)RL重寫頁面
21、繞過ModSecurity Web應(yīng)用程序防火墻和類似的防火墻
22、繞過WebKnight Web應(yīng)用程序防火墻和類似的防火墻
23、即時(shí)結(jié)果
24、猜測MySQL <5（也是盲目）和MS Access中的表和列
25、快速檢索MySQL的表和列

26、恢復(fù)先前保存的表/列提取會話
27、對Oracle數(shù)據(jù)庫執(zhí)行SQL查詢
28、注射中的自定義關(guān)鍵字替換
29、通過單個(gè)請求獲得一個(gè)完整的行（全部在一個(gè)請求中）
30、將數(shù)據(jù)轉(zhuǎn)儲到文件中
31、將數(shù)據(jù)保存為XML
32、將數(shù)據(jù)保存為CSV格式
33、啟用xp_cmdshell和遠(yuǎn)程桌面
34、多表/列提取方法
35、多線程管理頁面查找器
36、多線程在線MD5破解器
37、獲取DBMS信息
38、獲取表格，列和數(shù)據(jù)
39、命令執(zhí)行（僅限MSSQL）
40、讀取遠(yuǎn)程系統(tǒng)文件（僅限MySQL）
41、創(chuàng)建/寫入遠(yuǎn)程文件（MySQL和MsSQL）
42、插入/更新/刪除數(shù)據(jù)

【安裝步驟】

1、下載軟件壓縮包文件，首先點(diǎn)擊“Havij 1.17 Pro.exe”進(jìn)行原版安裝


2、閱讀并同意軟件安裝協(xié)議


3、設(shè)置軟件安裝根目錄


4、核對安裝信息，確認(rèn)無誤后點(diǎn)擊【Install】按鈕繼續(xù)


5、完成后，先不要運(yùn)行程序，直接點(diǎn)擊【Finish】按鈕結(jié)束即可

【使用方法】

havij怎么使用？

為了獲得更可靠的結(jié)果，默認(rèn)情況下havij采用隨機(jī)簽名的每一次。如果你需要改變默認(rèn)的行為，你改變設(shè)置中的高級閃避標(biāo)簽從。禁用使用隨機(jī)簽名，并輸入您的自定義簽名為不同的數(shù)據(jù)庫服務(wù)器，或點(diǎn)擊在每個(gè)簽名字段前面的按鈕，以使用所提供的隨機(jī)簽名發(fā)生器。


盲目注射havij發(fā)現(xiàn)每個(gè)字符的二進(jìn)制數(shù)據(jù)的試驗(yàn)和錯(cuò)誤的方法被稱為區(qū)間二分法。這havij用途可改變字符范圍。您可以在“設(shè)置”視圖中使用“盲注入字符ASCII集”選項(xiàng)更改當(dāng)前字符范圍。


此選項(xiàng)定義基于時(shí)間的注入方法的毫秒延遲。如果它被設(shè)置為“自動(dòng)”，havij會自動(dòng)選擇最合適的延遲值。


你可以設(shè)置一個(gè)表名列表時(shí)使用havij不能提取表名和表必須嘗試猜測的方法。默認(rèn)的列表包括在Havij的安裝目錄。您可以在“設(shè)置”視圖的“盲”選項(xiàng)卡中指定自定義列表。


你可以設(shè)置列表的列名稱時(shí)要使用havij不能提取列名必須嘗試猜測的方法。默認(rèn)的列表包括在Havij的安裝目錄。您可以在“設(shè)置”視圖的“盲”選項(xiàng)卡中指定自定義列表。

【更新日志】

修正：在樹視圖中手動(dòng)添加數(shù)據(jù)庫表。
修正：在PostgreSQL找到字符串列。
修正：MS Access盲字符串類型的數(shù)據(jù)提取
修正：MSSQL盲自動(dòng)檢測時(shí)的錯(cuò)誤為基礎(chǔ)的方法失敗
修正：所有數(shù)據(jù)庫盲方法失敗重試
修正：在MySQL時(shí)間注入柱/表猜測
修正：崩潰時(shí)，傾倒到文件
修正：加載項(xiàng)目注入式（整數(shù)或字符串）
修正：HTTPS多線程錯(cuò)誤
修正：在MSSQL 2005執(zhí)行命令