文章总结： MDUT-Extend-Release是一款针对多种数据库系统的渗透测试工具，支持Oracle、MySQL、MSSQL等主流数据库的漏洞利用与安全评估。工具具备存活扫描、权限提升、脚本执行等功能，并修复了MongoDB供应链投毒等安全问题。适用于企业内部安全评估和渗透测试项目，基于Java环境跨平台部署。 综合评分： 78 文章分类： 渗透测试,安全工具,漏洞分析,数据库安全,红队

数据库渗透领域新标杆：这个工具让漏洞利用效率实现质的飞跃

棉花糖糖糖 棉花糖糖糖

棉花糖网络安全工具箱

2026年5月2日 11:11 四川

在小说阅读器读本章

去阅读

免责声明：本文仅供安全研究与教育目的使用，任何未经授权的渗透测试行为均违反法律法规。

重点导读技术定位

MDUT-Extend-Release 是针对多种数据库系统的渗透测试工具。该项目在原有 MDUT 框架基础上进行扩展，支持 Oracle、MySQL、MSSQL、PostgreSQL、Redis、MongoDB 等主流数据库的漏洞利用与安全评估。

重点导读核心功能

PART 01数据库覆盖范围

该工具集成了对以下数据库类型的支持：

• Oracle：支持 SID 和 Service 连接方式，提供大文件模式上传下载功能
• MySQL：常规利用模块与权限提升技术
• MSSQL：Godpotto 等提权类型、Shellcode 加载、综合利用模块
• PostgreSQL：专项利用模块
• Redis：CVE-2025-49844、CVE-2022-0543 等漏洞利用，Linux 计划任务部署
• MongoDB：漏洞利用与存活探测

PART 02漏洞利用能力

工具实现了多项漏洞利用技术：

• 存活扫描：数据库服务可用性检测
• 主从复制：Redis 场景下的利用
• 供应链安全：MongoDB 利用脚本源文件投毒检测
• 权限提升：多种数据库的提权方案

PART 03脚本执行

支持在数据库服务器上执行 PowerShell、Shell 等各类命令，实现远程控制与数据窃取。

重点导读技术特性

PART 04驱动优化

升级 Jedis 依赖库至 4.2.3 版本，提升 Redis 操作稳定性与兼容性。

PART 05UI 改进

优化分组界面与交互逻辑，降低使用门槛。

PART 06安全修复

• MongoDB 利用脚本源文件供应链投毒问题
• Oracle 函数初始化失败场景
• PowerShell 命令右括号缺失问题
• ORA-24345 文件下载问题
• Redis 计划任务名称随机化问题
• PostgreSQL 驱动程序异常场景
• Redis 主从复制失败问题
• Redis SocketException 问题

重点导读版本演进

PART 07v1.3.1

• 安全修复：MongoDB 供应链投毒
• Bug 修复：MongoDB 存活探测

PART 08v1.3.0

• MongoDB 数据库利用
• 数据库存活扫描
• Redis CVE-2025-49844、CVE-2022-0543 利用
• Oracle 大文件上传下载
• MSSQL Godpotato 提权
• MSSQL Shellcode 加载
• MSSQL 综合利用

重点导读部署方式

该工具基于 Java 环境运行，支持 Windows、Linux 等多平台部署。

重点导读适用场景

• 企业内部安全评估
• 渗透测试项目执行
• 数据库安全加固验证
• 应急响应与漏洞验证

本公众号非项目作者，仅做技术分享。

本文介绍的项目开源地址如下：

https://github.com/DeEpinGh0st/MDUT-Extend-Release

广告时间

低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。

☟上下滑动查看更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《数据库渗透领域新标杆：这个工具让漏洞利用效率实现质的飞跃》