51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 4510|回复: 1
打印 上一主题 下一主题

sql注入_小白Sqlmap和burpsuite第一次结合使用

[复制链接]
  • TA的每日心情
    奋斗
    2019-2-28 08:52
  • 签到天数: 3 天

    连续签到: 3 天

    [LV.2]测试排长

    跳转到指定楼层
    1#
    发表于 2019-2-28 09:32:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    安装
    sqlmap安装以及burpsuite(下方检查bp)安装请自行百度,这里基本按照这个节奏来的。

    注意事项
    [size=10.5000pt]1、sqlmappython语言写的,需要python环境。
    Bpjava语言写的,需要java环境。

    使用
    总体节奏,就是sqlmap检查  bp抓的指定系统的请求   是否存在sql注入的情况。
    [size=10.5000pt]1、双击bp
    2、界面如图
    3、Bp抓请求使用代理,查看端口号
    4、设置ie代理
    5、bp设置ie访问OA的请求放入文件
    6、bp关掉截断请求,若是on,则每次请求都需要点击forward,程序才能运行。
    7、ie访问系统进行一系列操作。
    8、关掉bp,查看指定的文件,有大小。
    打开查看是请求。
    9、使用sqlmap对这些请求进行检查,执行命令python sqlmap.py  -l  1.txt  --batch
    简单介绍:
    python sqlmap.pypython语言的执行方式,此处表示执行sqlmap
    -l :表示指定bp的日志,注意是小写的L
    1.txt :是bp生成的日志
    --batch :表示批量执行,若没有这个,会询问是否检查,需要手动回答yes还是no
    10、执行效果如图
    11、上述系统操作花费较长,最终执行结果存成一个文件
    12、查看这个文件,是否有注入应该在place字段有所体现,我的这个字段没有内容,尴尬,还需要继续学习。

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏1
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 23:23 , Processed in 0.068040 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表