Há uma cetena de ferramentas opensources dedicadas para execução de ataques SQL Injection. A distribuição BackTrack5 R1 vem com muitas delas.

O que faz uma ferramenta se destacar perante as outras é o grau de automatização de ataques que ela consegue fazer, estou dizendo o seguinte “Você coloca na execução do comando a URL  da vítima junto com uma string válida e aperta <Enter>”, depois disso, você irá tomar um café ou jogar um playstation para aguardar o resultado.

O The Mole é uma dessas ferramentas. Você não precisa entender nada de SQL, muito menos de SQL Injection. É só colocar a URL da vítima junto com uma string válida na linha de comando, apertar <enter> e chamar a namorada, esposa ou amante para dar uns beijos.

Vejam um resultado da execução do comando:

Este link possui um excelente tutorial de como utilizar o The Mole

Vejam a lista de features desta ferramenta:

  • Support for injections using Mysql, SQL Server, Postgres and Oracle databases.
  • Command line interface. Different commands trigger different actions.
  • Auto-completion for commands, command arguments and database, table and columns names.
  • Support for query filters, in order to bypass certain IPS/IDS rules using generic filters, and the possibility of creating new ones easily.
  • Developed in python 3.

Acabei encontrado o vídeo abaixo no youtube que demonstra a utilização do carinha, bem interessante e útil para quem deseja testá-la:

Cada vez mais as coisas estão ficando mais simples.