Jerivá-SQLi

       O Projeto Jerivá-SQLi é uma camada de serviço baseada em Apache e Script PHP o qual permite realizar SQL Injection explorando recursos que não são nativos (suportados) pela aplicações originais.

       Este projeto surgiu em virtude do Havij FREE não suportar Protocolo HTTPS e injection URL rewrite Page ate a versão Havij FREE 1.14. Além disso, desejo incentivar a criação e compartilhamento de soluções desde que não sejam Crackes ou programas Piratas.

       É necessário dizer ainda que o Jerivá-SQLi não esta restrito ao Havij FREE 1.14 ou qualquer versão anterior. Ele pode ser usado em qualquer ferramenta de SQL Injection mesmo que este já tenha suporte as funcionalidades que o Jerivá-SQLi provê. O projeto foi testado nas seguintes ferramentas: Havij, Acunetix e bsqlbf.

Español

       El proyecto Jerivá-SQLi es una capa de servicios basados en Apache y PHP script que permite realizar inyección SQL explotación de los recursos que no son nativos (apoyado) por las aplicaciones originales.

        Este proyecto surgió debido a la Havij Free no soporta el protocolo HTTPS y la URL de inyección de reescribir la página Havij Free hasta la versión 1.14. También quiero animar a la creación y el intercambio de soluciones, siempre que no sean crackes o programas piratas.

        Todavía es necesario decir que no la Jerivá-SQLi restringido a Havij Free 1.14 o cualquier versión anterior. Se puede utilizar en cualquier herramienta de inyección de SQL a pesar de que ya soporta las características que Jerivá-SQLi proporciona. El proyecto fue probado en las siguientes herramientas: Havij, Acunetix y bsqlbf.

English

       Jerivá SQLi is a service layer based on Apache and PHP Script, which allows performing SQL Injection and exploration of resources that are not native (supported) to the original applications.

        This project began because the FREE version of Havij does not support HTTPS protocol and “injection URL rewrite Page” untill Havij FREE version 1.14 comes out. I wish to encourage people to create and share enhancements for the project, as long as they do not use it for crack or piracy purposes.

        It is still necessary to say that the Jerivá-SQLi is not restricted to Havij FREE 1.14 or any earlier version. It can be used in any SQL injection tool even though it already supports the features Jerivá-SQLi provides. The project was tested on the following tools: Havij, Acunetix and bsqlbf.
--- Tradução : Giuliano (giulianob@live.com)

Principais Caracteristicas

• Permite que ferramentas de Pen-test realizem ataque HTTPS mesmo que a ferramenta em questão suporte apenas HTTP.
  
  
• Prove suporte a Injection URL rewrite Page
  
  
• Permite que o usuário do Jeriva-SQLi desenvolva seus próprios plugins para contornar as limitações das ferramentas de Pen-test
  
  
• Suporta o envio e recebimento de arquivos em DB Mysql. Basta que o usuário tenha previlégios para ler e criar arquivos no servidor.
  
  
• Para o Havij 1.4 e 1.5 o plugin "mysql_to_postgres.php" prove suporte a 4 técnicas de SQL Injection e upload de Arquivos para PostgreSQL. As técnicas suportadas são: "unknow ver, error based, Blind , time based ". Sendo que o time based funciona nas Versões 9.1, 9.0, 8.4, 8.3, 8.1 e 8.0 do PostgreSQL.
  
  
• Permite que a ferramenta de Pen-Test use a rede TOR e controle a renovação de uma nova identidade. Entenda renovação de identidade como aquisição de um novo IP.
  
  
• Possibilita a adição ou remoção de dados que compõem o cabeçalho HTTP
  
  
• Prove suporte ao método POST e enctype=multipart/form-data.
  
  

O que há de novo?

Win32

• Disponível apartir da versão 2.0
  • Protocolo HTTPS
  • Injection URL  rewrite Page

PHP (Windows e Linux)

• Versão 2.0
  • Protocolo HTTPS
  • Injection URL  rewrite Page
• Versão 3.0
  • All in one request ( Somente para o Havij Free )
    Testado no Havij Free 1.4
• Versão 4.0
  • Download - Baixa arquivos do servidor remoto e armazena na máquina local - ( Somente para o Havij Free ) - Testado no Havij Free 1.4
• Versão 5.0
  • Upload - Envia arquivos da máquina local para o servidor remoto - ( Somente para o Havij Free ) - Testado no Havij Free 1.4 e 1.5
• Versão 6.0
  • Injection Tamper Data - Use determinados script (s) para adulteração de dados durante a injeção - Testado no Havij Free 1.4 e 1.5
• Versão 7.0
  • Proxy / TOR - Utilize a rede TOR ou qualquer outro servidor proxy para realizar anonimamente requisições ao site alvo.
  • Tamper HTTP Header - Adultere o cabeçalho HTTP, antes de realizar as requisições junto ao site alvo
• Versão 8.0
  • Suporte ao método POST e multipart/form-data
  • PostService - Processamento Posterior a navegação no site alvo

        Novas funcionalidades estão sendo estudadas para implementações futuras

Vídeos de Demostração

        Aprenda a Instalar e Configurar o Jeriva-SQLi no Windows

        POST Multipart/form-data ( NOVO ) ( Publicado 06-06-2012 )

        Havij Free ( 1.4 e 1.5 ) com Suporte a Postgres

        Injection Tamper Data (Plugin base64_base64)

        Upload de arquivos (binários e/ou texto) da máquina local para o servidor remoto

        Download de arquivos (binários e/ou texto) remotos e armazenagem na máquina local

        All in one request

        Jerivá-SQLi + Admin Control Panel Finder v2.1.4

Download

• Jerivá-SQLi Versão 2.0 - Win32 ( Jeriva-SQLi.exe - MD5: 7309146953c423afc6597ab9f2e47077 )
  Download ( NOVO )
  
  http://www.virustotal.com/
  File name: Jeriva-Sqli.exe
  Submission date: 2011-05-23 16:05:31 (UTC)
  Current status: finished Result: 2/ 43 (4.7%)
  
  
  
• Jerivá-SQLi Versão 8.0 em PHP para Windows e Linux
  Download ( NOVO ) - ( 02-06-2012 )
  
  Jeriva-SQLi-v8-0-linux-PHP.bin - MD5 ( 2ab918b5a4917d435d02c0b6ac02869f )
  Jeriva-SQLi-v8-0-windows-PHP.bin - MD5 ( b352598925844a6f44e1d020e014d4bd )
  Jeriva-Bytecode.php - MD5 ( 8ee729da001d1efa43fcbc9df0f6e15c )
  htaccess - MD5 ( a510ee2348bc235932f219cd1fe0b900 )
  
  
  
• WampServer2.0b ( WampServer2.0b.exe - MD5: b513a49f43c85073deff19b69a771a31)
  DOWNLOAD - WampServer2.0b.exe ( NOVO )
  
  
  
• Plugins Tamper ( os Links quebrados foram reparados )
  
  
  • post_to_multipart - Converta o método POST em multipart/form-data. ( NOVO )
    
    
  • mysql_to_postgres - Versão 2 - suporte a " unknow ver, error based, Blind , time based" e upload de arquivos.
    
    
  • Plugins_e_Bibliotecas_Tamper_Atualizacao_2 - base64, base64_base64, log, replace_with_coment1, replace_with_coment2, replace_with_nlcr, replace_with_rand, replace_with_tab

        Considerações finais, este projeto não tem a intenção de descontinuar o Havij FREE ou qualquer outra ferramenta e sim mostrar a comunidade que podemos contornar determinadas limitações com um pouco de engenhosidade.

Apoio: Movimento Turmadamônica

Jerivá-SQLi foi criado por: Fidqsi

E-Mail: jeriva-sqli (arroba) itsafe (ponto) net (ponto) br

Twitter: @jerivasqli

"Devemos pensar 50% para nós e 50% para os outros desta forma é possível construir uma sociedade melhor" -- Doshin So