免责声明:
此文章仅用于学习研究使用,请勿用于违法犯罪,请遵守《网络安全法》等相关法律法规。
Burp+sqlmap测试SQL注入
本文主要讲述Burp和sqlmap工具联动测试SQL注入
环境准备
-
具有python环境
-
系统中有sqlmap
-
Burp插件安装:
先下载好jython.jar文件https://www.jython.org/download.html
![image-20210725131554100](https://img-blog.csdnimg.cn/img_convert/c3c8739a19ad21ce7ecc9587991439f7.png)
在Burpsuite的Extender中添加jython路径
![image-20210725131709514](https://img-blog.csdnimg.cn/img_convert/e402af8237c28d24d75c70949874bd36.png)
在BApp Store中安装sqlmap
![image-20210725131911795](https://img-blog.csdnimg.cn/img_convert/e06745a5bcd74f8a6b7df34766f74113.png)
在SQLipy模块中启动API即可,sqlmapapi默认端口为8775
![image-20210725132055775](https://img-blog.csdnimg.cn/img_convert/29e8547f3b59d2fc9275a192cc26e3b9.png)
开始测试
本次测试环境为sqlilab,可前往github托管处下载
sqlilab搭建过程中若出现报错,可参考文章https://luoyunhao.com/archives/15.html
Burp截断HTTP请求,将数据包发送到sqlmap工具中进行探测
![image-20210725132949904](https://img-blog.csdnimg.cn/img_convert/0d59460279ff2fee5f8fc80ffaf7ffe0.png)
![image-20210725134059689](https://img-blog.csdnimg.cn/img_convert/4f0ed8839b69177ec72d6153e28685aa.png)
配置好点击开始即可
开始后可在日志中查看过程及结果
![image-20210725134321253](https://img-blog.csdnimg.cn/img_convert/d6000cc896c61fcd114befd3513c4f53.png)
也可在站点地图中查看结果,若有SQL注入漏洞,在站点地图上则会有显示
![image-20210725134453650](https://img-blog.csdnimg.cn/img_convert/263b134452d84f95598a3a6423c44d98.png)
作者博客:不拿呐のBlog