Havij 是一款簡(jiǎn)單實(shí)用的SQL自動(dòng)化注入輔助工具。軟件不僅能夠自動(dòng)挖掘可利用的SQL 查詢(xún)，還能夠識(shí)別后臺(tái)數(shù)據(jù)庫(kù)類(lèi)型、檢索數(shù)據(jù)的用戶(hù)名和密碼hash、轉(zhuǎn)儲(chǔ)表和列、從數(shù)據(jù)庫(kù)中提取數(shù)據(jù)，甚至訪問(wèn)底層文件系統(tǒng)和執(zhí)行系統(tǒng)命令。軟件支持廣泛的數(shù)據(jù)庫(kù)系統(tǒng)，支持參數(shù)配置以躲避IDS，支持代理，后臺(tái)登陸地址掃描。

【功能特點(diǎn)】

　　1、支持?jǐn)?shù)據(jù)庫(kù)與注入方法

　　MSSQL 2000 / 2005錯(cuò)誤

　　MSSQL 2000 / 2005無(wú)錯(cuò)誤聯(lián)盟總部

　　MSSQL盲

　　MSSQL時(shí)基

　　基于MySQL的聯(lián)盟

　　MySQL盲

　　基于MySQL的錯(cuò)誤

　　MySQL的時(shí)間

　　基于Oracle的聯(lián)盟

　　基于Oracle錯(cuò)誤

　　Oracle盲

　　基于PostgreSQL的聯(lián)盟

　　基于MS訪問(wèn)聯(lián)盟

　　MS Access盲

　　Sybase（ASE）

　　Sybase（ASE）Blind

　　2、HTTPS支持

　　3、多線程

　　4、代理支持

　　5、自動(dòng)信息服務(wù)器檢測(cè)

　　6、自動(dòng)參數(shù)類(lèi)型檢測(cè)（字符串或整數(shù)）

　　7、自動(dòng)關(guān)鍵詞檢測(cè)（發(fā)現(xiàn)正面和負(fù)面的反應(yīng)之間的區(qū)別）

　　8、自動(dòng)掃描所有參數(shù)。

　　9、嘗試完全不同的注射方法

　　10、替代房屋的選擇，…針對(duì)IDS或過(guò)濾器

　　11、避免開(kāi)發(fā)字符串（繞過(guò)magic_quotes和類(lèi)似的過(guò)濾器）

　　12、手動(dòng)注入語(yǔ)法支持

　　13、手動(dòng)查詢(xún)結(jié)果

　　14、強(qiáng)迫法外聯(lián)盟

　　15、隨機(jī)信號(hào)發(fā)生器

　　16、完全可定制的協(xié)議頭（如參考，用戶(hù)代理…）

　　17、從網(wǎng)站加載Cookie（s）進(jìn)行身份驗(yàn)證

　　18、加載HTML類(lèi)型的輸入

　　19、協(xié)議基本和摘要認(rèn)證

　　20、注入統(tǒng)一資源定位器重寫(xiě)頁(yè)面

　　21、繞過(guò)防火墻和類(lèi)似防火墻ModSecurity的互聯(lián)網(wǎng)應(yīng)用

　　22、繞過(guò)webknight互聯(lián)網(wǎng)應(yīng)用防火墻和類(lèi)似防火墻

　　23、即時(shí)結(jié)果

【更新日志】

　　V1.17

　　轉(zhuǎn)儲(chǔ)全部

　　一種新的基于插入語(yǔ)句的MySQL旁路方法

　　為MSSQL和MySQL添加文件特征。

　　加載HTML表單輸入

　　隨機(jī)簽名發(fā)生器

　　以CSV格式保存數(shù)據(jù)

　　設(shè)置中的高級(jí)閃避選項(xiàng)卡

　　注入標(biāo)簽設(shè)置

　　“用戶(hù)現(xiàn)在可以改變不存在的注入值（默認(rèn)值為999999。9）。

　　“注釋標(biāo)記“可由用戶(hù)更改（默認(rèn)值為--））

　　禁止/啟用日志記錄

　　修正：在表樹(shù)視圖中添加手動(dòng)數(shù)據(jù)庫(kù)

　　修正：在PostgreSQL中找到字符串列

　　修正：MS Access盲字符串類(lèi)型數(shù)據(jù)抽取

　　修正：MSSQL基于錯(cuò)誤的方法失敗時(shí)自動(dòng)檢測(cè)

　　修正：所有數(shù)據(jù)庫(kù)盲方法重試失敗

　　修正：在基于MySQL的時(shí)間注入中猜列/表

　　修正：翻轉(zhuǎn)文件時(shí)崩潰

　　修正：加載項(xiàng)目注入類(lèi)型（整數(shù)或字符串）

　　修正：HTTPS多線程錯(cuò)誤

　　修正：MsSQL 2005中的命令執(zhí)行