51Testing软件测试论坛

标题: sql注入_小白Sqlmap和burpsuite第一次结合使用 [打印本页]

作者: strongheart 时间: 2019-2-28 09:32
标题: sql注入_小白Sqlmap和burpsuite第一次结合使用
安装

sqlmap安装以及burpsuite（下方检查bp）安装请自行百度，这里基本按照这个节奏来的。

注意事项

[size=10.5000pt]1、sqlmap是python语言写的，需要python环境。

Bp是java语言写的，需要java环境。

使用

总体节奏，就是sqlmap检查 bp抓的指定系统的请求是否存在sql注入的情况。

[size=10.5000pt]1、双击bp
[attach]122375[/attach]

2、界面如图

[attach]122376[/attach]

3、Bp抓请求使用代理，查看端口号

[attach]122377[/attach]

4、设置ie代理

[attach]122378[/attach]

5、bp设置ie访问OA的请求放入文件

[attach]122379[/attach]

6、bp关掉截断请求，若是on，则每次请求都需要点击forward，程序才能运行。

[attach]122380[/attach]

7、ie访问系统进行一系列操作。

8、关掉bp，查看指定的文件，有大小。
[attach]122381[/attach][attach]122381[/attach]

打开查看是请求。
[attach]122382[/attach]

9、使用sqlmap对这些请求进行检查，执行命令python sqlmap.py -l 1.txt --batch

简单介绍：
python sqlmap.py： python语言的执行方式，此处表示执行sqlmap
-l ：表示指定bp的日志，注意是小写的L
1.txt ：是bp生成的日志
--batch ：表示批量执行，若没有这个，会询问是否检查，需要手动回答yes还是no

10、执行效果如图

[attach]122383[/attach]

11、上述系统操作花费较长，最终执行结果存成一个文件

[attach]122384[/attach]

12、查看这个文件，是否有注入应该在place字段有所体现，我的这个字段没有内容，尴尬，还需要继续学习。

[attach]122385[/attach]

作者: Miss_love 时间: 2021-6-15 09:46
支持下

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)