Pangolin 2.5.2.975 更新時間2009.07.05
1.解決介面假死的問題 :這個問題也是一個頑疾,本次更新進行了較好的修復
2.預登陸保持會話的功能 :一些需要預登陸的頁面操作,如果長時間(一般會話session的保存時間為10分鐘)不操作的話將會導致無法進行注入操作,必須再次進行登錄。本次更新很好的解決了改問題,用戶只要預登陸一次,只要不關閉進程,不管是否長時間進行操作都將能夠保持會話狀態。
3.多執行緒全部獲取AAAAA資料的問題
4.自動生成MYSQL資料匯出需要的URL :很多使用者回饋說不知道資料匯出專家如何使用,或者說是不知道如何構造URL,在本版本中Pangolin提供了一種傻瓜式的構造操作。使用者在“資料”頁面,選中需要獲取的表中對應的列,然後在表格上點擊右鍵,將出現“Dump Data”功能表,點擊後將會自動構造需要的URL
5.增加一種MSSQL 2005獲取資料的方法
6.修復一些小BUG
2.5.1.968發佈 - 增加後臺查找功能 更新時間2009.06.22
1.解決介面假死的問題 :這個問題也是一個頑疾,本次更新進行了較好的修復
2.預登陸保持會話的功能 :一些需要預登陸的頁面操作,如果長時間(一般會話session的保存時間為10分鐘)不操作的話將會導致無法進行注入操作,必須再次進行登錄。本次更新很好的解決了改問題,用戶只要預登陸一次,只要不關閉進程,不管是否長時間進行操作都將能夠保持會話狀態。
3.多執行緒全部獲取AAAAA資料的問題
4.自動生成MYSQL資料匯出需要的URL :很多使用者回饋說不知道資料匯出專家如何使用,或者說是不知道如何構造URL,在本版本中Pangolin提供了一種傻瓜式的構造操作。使用者在“資料”頁面,選中需要獲取的表中對應的列,然後在表格上點擊右鍵,將出現“Dump Data”功能表,點擊後將會自動構造需要的URL
5.增加一種MSSQL 2005獲取資料的方法
6.修復一些小BUG
Pangolin v2.4.0.960發佈,增加MD5破解專家功能 更新時間2009.06.13
目前很多客戶在進行滲透測試的過程中會遇到進過MD5進行了HASH的密碼,其中有一些客戶會購買某些線上破解MD5帳號的服務,量大的話花費就很高了。
在JSky中已經集成了一個MD5Digger的功能能夠快速的查詢MD5值,包括比較長的複雜的字串如gfhjkm1998這樣的。經過一些客戶的比較,MD5Digger的破解能力比目前網上收費的線上破解網站要強。在某個客戶的對比中,MD5Digger的破解率為60%,而某收費服務網站的破解成功率僅為48%。
經過一些客戶的要求,本次更新中在專業版對MD5Digger進行了移植,加入了此項功能。專業版用戶免費使用任意次數的查詢操作,不另受任何費用。
Pangolin v2.3.2.952發佈,增加資料匯出專家功能 更新日期 2009.06.04
本次更新增加了一個很強大的功能:資料匯出專家:
這裡做一下相關說明。在我們的一些滲透測試過程中,有可能需要進行大量的資料匯出。如果在有100萬條記錄的情況下我們採用Pangolin預設的資料匯出功能就有點慢了。這時我們就可以使用資料匯出專家工具。資料匯出專家工具並不進行GUI更新操作,直接將獲取的資料保存到檔中去,且是多執行緒操作。這樣速度就得到了非常大的提升。
使用方法如下:
2、在URL欄中輸入http://www.site.com/news.asp?id=1+and+1=2+union+select+1,2,concat
(0x5e24,0x7c,Password,0x7c,UserName,0x7c,Name,0x245e),4,5+From+user+limit+{index},1#
3、在From裡面填入開始的記錄便宜,在to裡面輸入結束的記錄便宜,在Threads中輸入執行緒數目,在Export to中輸入匯出的檔案名。
4、點擊Start。這時程式就進行了多執行緒的資料匯出操作,將獲取的資料保存在制定的檔中
這裡有兩點需要注意:
1、URL中通過制定{index}表示記錄的索引標識
2、URL中匯出的資料必須以^$和$^字串包裝起來,對應HEX的值為0x5e24和0x245e
Pangolin v2.3.1.950發佈 更新日期 2009.05.30
本次更新如下:
1.增強了MSSQL資料獲取模式,加入了目標伺服器不支援[database]..[sysobjects]格式的情況
2.增加URL大小寫配置選項,在某些情況下目標伺服器可能對大小寫進行了限制
3.增強繞過防火牆功能
4.解決UNICODE文字編碼保存為HTML顯示為亂碼的問題
5.修復了MSSQL error猜資料一直猜解同樣的表,不停止的BUG
6.修復了獲取資料奔潰的BUG
7.增強MSSQL進行條件判斷時的功能
Pangolin v2.3.0.948發佈 更新日期 2009.05.25
1.完美解決資料庫錯誤的BUG
2.增加表單分析器選項,使用者不用再手動拼湊提交的URL了
3.修改無法發送錯誤報告的BUG
4.根據互聯網常見的命名習慣豐富了表列字典
5.修改關鍵字顯示時的亂碼問題
6.修改了配置保存中HTTP換行的問題
7.修復了判斷列數目Order by方法(這個問題約麼大風在一年前就提出來了)
8.增強了MYSQL資訊獲取
9.優化了MYSQL注入匯出檔
10.修復猜解資料過多時無法保存資料的bug
11.修復MSSQL獲取資訊時奔潰的一些BUG
Pangolin v2.2.2.944發佈 更新日期 2009.05.22
1.增強Mysql爆庫功能
2.修改程式由於資料庫問題多次彈出錯誤對話方塊
3.Cookie注入功能增強
4.修復獲取空資料再存入到資料庫中時出錯提示
5.一些BUG修復
Pangolin 發佈v2.2.1.940 更新日期 2009.05.20
Mysql注入增強、BUG修復
MSSQL注入判斷增強、BUG修復
增加URL操作配置,使用者可以在請求URL之前進行一些制定的配置
現在,使用者可以替換請求URL中的一些特殊字元,這當目標存在防火牆時尤為重要。
Pangolin v2.2.0.936發佈 更新日期 2009.05.18
我們強烈建議客戶升級到該版本。
本次發佈主要圍繞穩定性進行了大量的工作,理論上來說,程式出現任何錯誤都不會導致程式崩潰。這也正是大量客戶普遍提出的需求,在持續進行大量資料操作的時候,中途崩潰很難以接受。因此,本地更新加入了異常處理,任何情況下均以保證使用者操作為最大的根本。
Pangolin v2.1.4.930發佈
本次對客戶提出的大量改進點進行了修正與增強,尤其是在MSSQL2005方面。某客戶遇到目標資料庫刪除了核心存儲過程以至於無法獲取資料,Pangolin加入了功能代碼使用另一種方式進行資料猜解。目前只有Pangolin能做到 ;)
除此之外,Pangolin還增加了許多特例情況,讓客戶最大的發揮注入功能。另外也修正了一些BUG。
請客戶及時聯繫更新版本。
Pangolin 2.1.2.924發佈
1.增加異常終止選項,使用者可自訂是否在獲取錯誤時中止。以前預設是獲取資料出錯時中止,後來很多客戶回饋及時獲取資料出錯了也不希望猜解過程停止,因此本次調整為預設獲取資料錯誤時跳過錯誤繼續進行。
2.解決MYSQL資料庫判斷錯誤BUG。
3.解決中文目錄中每次都需要刪除data.s3db的BUG。
4.修改MSSQL中Remote功能中的BUG。
5.修改了一些客戶回饋的記憶體洩漏問題。
Pangolin更新至2.1.0.920
本次更新添加多執行緒暴力猜解模式,體驗快10倍的猜解速度。
眾所周知,Pangolin的猜解速度非常驚人,很多情況下可以瞬間爆資料(非資料庫報錯的情況)。然而,還有一些情況我們是無法使用UNION模式快速獲取資料的(如數據清單形式,非單條記錄)。這時候我們不得以只能使用一個位元組一個位元組的猜解模式,這種情況下,Pangolin的速度變得比較慢。
從2.1.0.920版本開始,Pangolin支援多執行緒暴力猜解模式,任何資料庫類型在不能使用UNION的情況下均支援開啟多執行緒模式,這時猜解資料將達到以往的10倍速度。
Pangolin更新至2.0.7.900
加入了Oracle自訂獲取遠端資料URL的功能,這樣,用戶就能夠通過自己搭建伺服器快速的獲取目標資料。這個在如下場景下尤其重要:內網滲透過程中,目標伺服器無法訪問互聯網。
點擊Edit->Options->Oracle進入如下配置介面:
Pangolin v2.0.6.896添加報表匯出功能
是否想過將滲透測試結果匯出為報表?好吧,在Pangolin v2.0.6.896版本後的專業版中加入了對掃描結果的報表匯出。
目前支持如下一些格式:PDF/HTML/RTF等。
內容包含如下資訊:
1.掃描概要:包含目標的URL,資料庫類型,注入類型,關鍵字等資訊
2.資料庫資訊:針對不同的資料庫獲取的資訊
3.資料表清單:獲取的資料庫中表的清單清單
4.資料清單:每個資料表中對應的資料清單
Pangolin v2.0.5.890加入資料保存功能的支援
Pangolin v2.0.4.870加入Oracle執行Command功能
Pangolin v2.0.3.850中加入對Oracle文件讀取功能
