SQL注入:基于BrupSuite和sqlmap

一、環(huán)境:

  • Java
  • Python

二、安裝工具

1、下載BrupSuite (下載社區(qū)版即可)

https://portswigger.net/burp/documentation/desktop/getting-started/download-and-install

2、安裝sqlmap

先去github上面下載并解壓sqlmap相關文件
url:https://github.com/sqlmapproject/sqlmap.git
打開 Terminal(這里以terminal為例,因為terminal為系統(tǒng)自帶終端)
1、vi ~/.bash_profile
2、alias sqlmap=‘python3 /User/***/sqlmap-master/sqlmap.py’
3、source ~/.bash_profile
4、sqlmap

三、設置代理獲取注入請求參數(shù)

1、安裝完成之后啟動BrupSuite
2、Proxy -> Options -> Proxy Listeners 新增或者選中編輯添加2個端口作為代理請求端口


image.png

3、電腦設置->網絡->高級->代理,勾選網頁代理 和 安全網頁代理,端口與 BrupSuite端口一致


image.png

4、安裝證書,Proxy -> Options ->Improt / export Ca certificate


image.png

4.1、創(chuàng)建證書
image.png

4.2、選中文件保存證書


image.png

4.3、導入證書,Chrome 設置頁面,點擊管理證書,打開電腦鑰匙串訪問,導入BrupSuite保存的證書,然后選擇證書->始終信任
image.png

image.png

5、Chrome 請求需要SQL注入的網址,在BrupSuite的 Proxy -> HTTP history 就可以看到請求。
image.png

6、保存請求體到文件,.log格式
image.png

四、使用sqlmap進行SQL注入

選擇BrupSuite保存的請求體進行SQL注入測試

sqlmap -l 3.log --dbs
?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
【社區(qū)內容提示】社區(qū)部分內容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發(fā)布,文章內容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內容

友情鏈接更多精彩內容