SQL注入:基于BrupSuite和sqlmap

一、環(huán)境:

  • Java
  • Python

二、安裝工具

1、下載BrupSuite (下載社區(qū)版即可)

https://portswigger.net/burp/documentation/desktop/getting-started/download-and-install

2、安裝sqlmap

先去github上面下載并解壓sqlmap相關(guān)文件
url:https://github.com/sqlmapproject/sqlmap.git
打開(kāi) Terminal(這里以terminal為例,因?yàn)閠erminal為系統(tǒng)自帶終端)
1、vi ~/.bash_profile
2、alias sqlmap=‘python3 /User/***/sqlmap-master/sqlmap.py’
3、source ~/.bash_profile
4、sqlmap

三、設(shè)置代理獲取注入請(qǐng)求參數(shù)

1、安裝完成之后啟動(dòng)BrupSuite
2、Proxy -> Options -> Proxy Listeners 新增或者選中編輯添加2個(gè)端口作為代理請(qǐng)求端口


image.png

3、電腦設(shè)置->網(wǎng)絡(luò)->高級(jí)->代理,勾選網(wǎng)頁(yè)代理 和 安全網(wǎng)頁(yè)代理,端口與 BrupSuite端口一致


image.png

4、安裝證書(shū),Proxy -> Options ->Improt / export Ca certificate


image.png

4.1、創(chuàng)建證書(shū)
image.png

4.2、選中文件保存證書(shū)


image.png

4.3、導(dǎo)入證書(shū),Chrome 設(shè)置頁(yè)面,點(diǎn)擊管理證書(shū),打開(kāi)電腦鑰匙串訪問(wèn),導(dǎo)入BrupSuite保存的證書(shū),然后選擇證書(shū)->始終信任
image.png

image.png

5、Chrome 請(qǐng)求需要SQL注入的網(wǎng)址,在BrupSuite的 Proxy -> HTTP history 就可以看到請(qǐng)求。
image.png

6、保存請(qǐng)求體到文件,.log格式
image.png

四、使用sqlmap進(jìn)行SQL注入

選擇BrupSuite保存的請(qǐng)求體進(jìn)行SQL注入測(cè)試

sqlmap -l 3.log --dbs
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容