支持三种工作模式:

1.普通模式:

前提是拥有一个普通的oracle连接账号,不需要DBA权限,可提权只DBA,并以oracle实例运行的权限执行操作系统命令。

2.DBA模式:

拥有DBA账号密码,可以省去自己手动创建存储过程的繁琐步骤,一键执行:)

3.注入模式:

拥有一个oracle注入点,可以通过注入点直接执行系统命令,此种模式没有实现回显,需要自己验证。主要当时偷懒了,想到回显还需要UTL_HTTP、DNS啥的,要搞一个单独的IP,太麻烦,以后有时间再完善吧:(

普通模式和DBA模式支持执行命令、列目录、反弹Shell;注入模式支持执行命令、反弹Shell。

请输入图片描述

点击下载

功能1-验证XSS漏洞:发现扫描器扫描出来的xss后,如果在firefox无法弹窗,或在IE浏览器下提示"存在xss风险",可把url输入到当前软件进行验证。

功能2-利用cookie漏洞:把获取到的cookie和cookie对应的url填入软件中,点击"设置cookie"后,再点击"打开网页",便可获得cookie对应用户的权限。

请输入图片描述

点击下载