51Testing软件测试论坛
标题: sql注入_小白Sqlmap和burpsuite第一次结合使用 [打印本页]
作者: strongheart 时间: 2019-2-28 09:32
标题: sql注入_小白Sqlmap和burpsuite第一次结合使用
安装sqlmap安装以及burpsuite(下方检查bp)安装请自行百度,这里基本按照这个节奏来的。
注意事项[size=10.5000pt]1、sqlmap是python语言写的,需要python环境。
Bp是java语言写的,需要java环境。
使用总体节奏,就是sqlmap检查 bp抓的指定系统的请求 是否存在sql注入的情况。
[size=10.5000pt]1、双击bp
[attach]122375[/attach]
2、界面如图
[attach]122376[/attach]
3、Bp抓请求使用代理,查看端口号
[attach]122377[/attach]
4、设置ie代理
[attach]122378[/attach]
5、bp设置ie访问OA的请求放入文件
[attach]122379[/attach]
6、bp关掉截断请求,若是on,则每次请求都需要点击forward,程序才能运行。
[attach]122380[/attach]
7、ie访问系统进行一系列操作。
8、关掉bp,查看指定的文件,有大小。
[attach]122381[/attach][attach]122381[/attach]
打开查看是请求。
[attach]122382[/attach]
9、使用sqlmap对这些请求进行检查,执行命令python sqlmap.py -l 1.txt --batch
简单介绍:
python sqlmap.py: python语言的执行方式,此处表示执行sqlmap
-l :表示指定bp的日志,注意是小写的L
1.txt :是bp生成的日志
--batch :表示批量执行,若没有这个,会询问是否检查,需要手动回答yes还是no
10、执行效果如图
[attach]122383[/attach]
11、上述系统操作花费较长,最终执行结果存成一个文件
[attach]122384[/attach]
12、查看这个文件,是否有注入应该在place字段有所体现,我的这个字段没有内容,尴尬,还需要继续学习。
[attach]122385[/attach]
作者: Miss_love 时间: 2021-6-15 09:46
支持下
欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) |
Powered by Discuz! X3.2 |