51Testing软件测试论坛

标题: sql注入_小白Sqlmap和burpsuite第一次结合使用 [打印本页]

作者: strongheart    时间: 2019-2-28 09:32
标题: sql注入_小白Sqlmap和burpsuite第一次结合使用
安装
sqlmap安装以及burpsuite(下方检查bp)安装请自行百度,这里基本按照这个节奏来的。
https://blog.csdn.net/Tututuo/article/details/80033868

注意事项
[size=10.5000pt]1、sqlmappython语言写的,需要python环境。
Bpjava语言写的,需要java环境。

使用
总体节奏,就是sqlmap检查  bp抓的指定系统的请求   是否存在sql注入的情况。
[size=10.5000pt]1、双击bp
[attach]122375[/attach]
2、界面如图
[attach]122376[/attach]
3、Bp抓请求使用代理,查看端口号
[attach]122377[/attach]
4、设置ie代理
[attach]122378[/attach]
5、bp设置ie访问OA的请求放入文件
[attach]122379[/attach]
6、bp关掉截断请求,若是on,则每次请求都需要点击forward,程序才能运行。
[attach]122380[/attach]
7、ie访问系统进行一系列操作。
8、关掉bp,查看指定的文件,有大小。
[attach]122381[/attach][attach]122381[/attach]
打开查看是请求。
[attach]122382[/attach]
9、使用sqlmap对这些请求进行检查,执行命令python sqlmap.py  -l  1.txt  --batch
简单介绍:
python sqlmap.pypython语言的执行方式,此处表示执行sqlmap
-l :表示指定bp的日志,注意是小写的L
1.txt :是bp生成的日志
--batch :表示批量执行,若没有这个,会询问是否检查,需要手动回答yes还是no
10、执行效果如图
[attach]122383[/attach]
11、上述系统操作花费较长,最终执行结果存成一个文件
[attach]122384[/attach]
12、查看这个文件,是否有注入应该在place字段有所体现,我的这个字段没有内容,尴尬,还需要继续学习。
[attach]122385[/attach]


作者: Miss_love    时间: 2021-6-15 09:46
支持下




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2