美文网首页
BurpSuite搭配Sqlmap进行自动化SQL注入测试

BurpSuite搭配Sqlmap进行自动化SQL注入测试

作者: 小浪崇礼 | 来源:发表于2020-05-21 18:39 被阅读0次

BurpSuite搭配Sqlmap进行自动化SQL注入测试

使用gason插件+SqlMap测试SQL注入漏洞

sqlmap官网

http://sqlmap.org/

python官网

https://www.python.org/downloads/windows/

sqlmap的github地址

https://github.com/sqlmapproject/sqlmap

https://code.google.com/p/gason/

https://code.google.com/archive/p/gason/downloads

最终获取的插件gason-version.jar

这个插件安装都没有问题,但是在执行的时候执行sqlmap的窗口弹不出来,不知道啥原因,这个插件可以当作是命令参考

上述安装完成,配置好路径,没有什么问题,直接针对请求包发送到sqlmap即可

也可以使用BurpSuite商店BApp Store中的SQLiPy

使用加强版sqlmap4burp插件+SqlMap批量测试SQL注入漏洞

原理就是BurpSuite获取的请求包然后生成日志,通过插件sqlmap4burp进行批量测试sql注入漏洞

sqlmap4burp此插件到目前位置没有更新维护过了,但网上有大佬基于此插件进行改进,现在

已经演变成非常精简好用的sqlmap4burp-plus-plus,可以直接编译此插件然后加载到burp即可使用

编译sqlmap4burp-plus-plus

编译前需要安装的环境:jdk和maven

安装jdk

官网下载jdk文件安装之后添加系统的环境变量

安装maven

https://www.runoob.com/maven/maven-setup.html

安装完成执行mvn -v确保能够执行java和javac

开始编译生成jar文件

git clone https://github.com/c0ny1/sqlmap4burp-plus-plus.git

mvn package

如果报错的话,需要配置代理

http://maven.apache.org/guides/mini/guide-proxies.html

需要新建文件名为settings.xml 保存下面代码

如下:

<settings>

  <proxies>

  <proxy>

      <id>example-proxy</id>

      <active>true</active>

      <protocol>http</protocol>

      <host>192.168.189.1</host>

      <port>9988</port>

      <nonProxyHosts>www.google.com|*.github.com</nonProxyHosts>

    </proxy>

  </proxies>

</settings>

编译完成会生成:sqlmap4burp-plus-plus-0.1.jar文件

然后加载到burpsuite即可使用

项目地址:https://github.com/c0ny1/sqlmap4burp-plus-plus

作者博客:http://gv7.me/articles/2019/refactoring-sqlmap4burp/

自动化批量使用sqlmap测试BurpSuite的Proxy-HTTP History的请求记录,配置生成本地请求日志文件的操作如下:

Project options --- Misc --- Logging --- Proxy -> Requests

然后本地保存一个文件名为burp-autosqlmap.txt

当所有需要被测试的请求记录在burp-autosqlmap.txt的时候使用批处理进行快速使用sqlmap批量测试SQL注入

保存成批处理文件然后执行,代码如下:

sqlmap.py -l C:\tools\burpsuite_pro_v2020.2\/burp-autosqlmap.txt --batch -smart

https://github.com/difcareer/sqlmap4burp

https://www.freebuf.com/sectool/74445.html

https://www.freebuf.com/sectool/75296.html

https://www.secpulse.com/archives/4213.html

http://gv7.me/articles/2017/compile-sqlmap4burp/

相关文章

  • BurpSuite搭配Sqlmap进行自动化SQL注入测试

    BurpSuite搭配Sqlmap进行自动化SQL注入测试 使用gason插件+SqlMap测试SQL注入漏洞 s...

  • BurpSuite+sqlmap

    0 配置BurpSuite BurpSuite配合sqlmap测试方便直接把sql注入的检测发送到sqlmap 要...

  • sqlmapapi使用中遇到的问题

    sqlmap可谓是sql注入探测的神器,但是利用sqlmap测试SQL注入的效率很低,每一个url都需要手动测试。...

  • Sql注入之sqlmapapi介绍

    sqlmap可谓是sql注入探测的神器,但是利用sqlmap测试SQL注入的效率很低,每一个url都需要手动测试。...

  • Sqlmap基本操作

    Sqlmap是用python2所写的脚本程序,用来对Web应用进行“sql注入漏洞”自动化测试可以说是Web渗透测...

  • sqlmap使用

    1. sqlmap简介 SQLmap是一款用来检测与利用SQL漏洞的注入神器。开源的自动化SQL注入工具,由Pyt...

  • sqlmap使用攻略及技巧分享

    sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功...

  • sqlmap从入门到精通-第六章-6-8 利用sqlmap渗透某

    6.8 利用sqlmap渗透某站点 6.8.1 发现并测试SQL注入漏洞 1. SQL注入漏洞发现思路 (1) 通...

  • sqlmap使用手册

    一、概述 1.1 简介 sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它...

  • Sqlmap对DVWA小试牛刀

    介绍 sqlmap是一个自动化的SQL注入工具,能发现并利用给定的URL的SQL注入漏洞,反正就是非常受欢迎厉害的...

网友评论

      本文标题:BurpSuite搭配Sqlmap进行自动化SQL注入测试

      本文链接:https://www.haomeiwen.com/subject/npmtahtx.html