sql注入_小白Sqlmap和burpsuite第一次结合使用

strongheart

安装

sqlmap安装以及burpsuite（下方检查bp）安装请自行百度，这里基本按照这个节奏来的。

https://blog.csdn.net/Tututuo/article/details/80033868

注意事项

[size=10.5000pt]1、sqlmap是python语言写的，需要python环境。

Bp是java语言写的，需要java环境。

使用

总体节奏，就是sqlmap检查  bp抓的指定系统的请求   是否存在sql注入的情况。

[size=10.5000pt]1、双击bp

2、界面如图

3、Bp抓请求使用代理，查看端口号

4、设置ie代理

5、bp设置ie访问OA的请求放入文件

6、bp关掉截断请求，若是on，则每次请求都需要点击forward，程序才能运行。

7、ie访问系统进行一系列操作。

8、关掉bp，查看指定的文件，有大小。

打开查看是请求。

9、使用sqlmap对这些请求进行检查，执行命令python sqlmap.py  -l  1.txt  --batch

简单介绍：
python sqlmap.py： python语言的执行方式，此处表示执行sqlmap
-l ：表示指定bp的日志，注意是小写的L
1.txt ：是bp生成的日志
--batch ：表示批量执行，若没有这个，会询问是否检查，需要手动回答yes还是no

10、执行效果如图

11、上述系统操作花费较长，最终执行结果存成一个文件

12、查看这个文件，是否有注入应该在place字段有所体现，我的这个字段没有内容，尴尬，还需要继续学习。

Miss_love

支持下