BurpSuite+sqlmap: SQLiPy扩展使用说明

最新推荐文章于 2024-08-13 08:53:12 发布
最新推荐文章于 2024-08-13 08:53:12 发布
阅读量7.4k 收藏 5
点赞数 2
分类专栏: 渗透测试 文章标签: python 扩展 burpsuite sqlmap sqlipy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cd_xuyue/article/details/51692772
版权

插件说明

该插件可以把burp抓到的请求直接扔给sqlmap扫描。

安装

安装流程图

配置

通过顶栏的SQLiPy进入该扩展:
进入扩展

该扩展需要 sqlmapapi.py (sqlmap项目自带)开启服务

可以有两种方法开启sqlmapapi,一种是自己在本机先运行 python sqlmapapi.py

sqlmapapi

然后在burp的SQLiPy扩展里填写监听的端口

sqlmapapi2

方法二:直接指定python和sqlmapapi.py的位置,然后点击startAPI,由插件自动启动该服务并绑定端口(仅限win)

方法二截图

使用

写在使用之前,如果您的扩展和我一样出现bug,请参考后文的“修复”章节

模拟一次用burp抓包,并用该插件扫描SQL注入的过程:

做一个简单注入的页面

注入页面截图

使用burp抓包,在结果中点右键选中SQLiPy Scan

使用说明截图

然后在插件页面中填写扫描参数(可选)
扫描钱配置截图

然后点击 Start Scan 即可,扫描结果如果有注入,就会在Target标签中显示

结果显示截图

结果显示截图2

修复

修改Start Scan按钮的位置。

源码有个bug,按钮的位置被覆盖了,导致一些情况下在界面里找不到这个按钮。

进入burp目录位置的 bapps 文件夹,找到 SQLiPy.py 源代码

修改621行,把这个button放到页首(鼠标移动少一点节约生命)

源码截图

保存,在Extender标签页里面卸载该插件并重新安装。OK!

按钮修改成功截图

Xyntax
关注
专栏目录
Burpsuite系列 -- SQLiPy插件使用
weixin_41489908的博客
05-22 2074
心眼这个东西,如果你想多了就是小心眼,想少了就是缺心眼,一直想呢就是死心眼,不想就是没心眼。。。。 ---- 网页云热评 提醒:公众号有视频版 一、SQLIPy插件介绍 该插件可以把burp抓到的请求包直接利用sqlmap扫描,下载地址:https://github.com/portswigger/sqli-py 二、安装Jython, 由于sqlmapPython语言编写的,而burp是java编写的所以需要先下载jython-standalone-2.7.0.jar文件 1、下载地..
Burpsuite 1.6 直接破解 里面有sqlMAP插件
01-15
对web系统中sql注入进行测试,比较好用好,可以使用sqlmap进行自动扫描,还可以抓包进行越权操作,比较使用
SQLiPy: Burp Suite 的强大 SQL 注入检测插件
最新发布
gitblog_00963的博客
08-13 381
SQLiPy: Burp Suite 的强大 SQL 注入检测插件 sqlipySQLiPy is a Python plugin for Burp Suite that integrates SQLMap using the SQLMap API.项目地址:https://gitcode.com/gh_mirrors/sq/sqlipy 1. 项目介绍 项目概览 SQLiPy 是一款专为 Bu...
burpsuite使用sqlipy插件
beautytudou的博客
09-08 789
操作步骤: 1、安装python2.7(安装方法自行搜索,要求在cmd里面python -V的时候看到的是2.7的版本) 2、下载jython2.7 standalone.jar 下载地址:org.python : jython-standalone : 2.7.2 - Maven Central Repository Search 3、在burp里面配置jypthon 这里jython存放的路径不能用中文,否则会报错: java.lang.IllegalArgumentExceptio
burpsuitesqlmap联动(sqlipy配置)
Welcome To Myon'Blog !
12-21 1379
下载好之后将这个jar文件放到某个位置(我是直接拉到了burpsuite位置),然后导入该路径。解压sqlmap的压缩包后里面有一个sqlmapapi.py的文件。第二个路径为你自己Python环境的路径,需要写到lib文件夹。关于配置burpsuitesqlmap联动的介绍至此结束。找到 sqlipy sqlmap integration。下载好后解压,里面还有一个sqlmap的压缩包,一并解压。在burpsuitesqlipy框进行配置。安装成功后会多出一个sqlipy的框。
Burpsuite插件系列之sqlmap
2301_80115097的博客
10-18 897
1.启动Burp Suite,选择Extender–》BApp Store,搜索框搜索sqlmap选中SQLipy Sqlmap Integration如下图我们可以看到安装此插件所需环境依赖。发送到SQLipy Scan2.这里我们可以看到,插件自动提取了测试URL及Cookie等参数。喜欢的小伙伴点点关注,可留言想了解的相关知识包括但不限于(云计算、网络安全、数据安全等)2.这里我们可以看到,插件自动提取了测试URL及Cookie等参数。6.在安装好的插件中改为一样的端口,并启动。
Burpsuite+Sqlmap批量扫描注入
****的博客
03-31 2832
主要思路 使用burpsuite对网站进行分析,将proxy的requests记录到日志中。 使用脚本过滤日志,得到去重后的目标主机。地址如下:https://github.com/tony1016/BurpLogFilter 利用sqlmap对过滤后的目标主机进行扫描 实现过程 在burpsuite开启日志,将proxy中的requests记录到日志中。 利用burplogfilter....
burpsuite插件sqlmap4burp安装包
01-05
已编译,亲测可直接使用,直接用burpsuite抓包,右键选择send to sqlmap4burp ,直接调用sqlmap进行注入点测试
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
进入这个页面勾选开启被动扫描,然后不用做任何操作,正常使用Burpsuite即可。 自动检测所有的流量,然后将可能存在未授权访问漏洞的URL显示到UAScan的页面中。 一般建议在登录某系统后使用,是挖掘未授权访问漏洞的...
Burpsuite+1.7.26+Unlimited
12-21
Burpsuite+1.7.26+Unlimited,专业破解版。 ...BurpSuite Pro完美版是款非常厉害的web应用程序渗透测试集成平台哦,是不是心动了呢?BurpSuite破解版可以让用户非常完美的使用软件,永久免费哦,千万不要错过!
Burpsuite+1.7.26+Unlimited抓包改包发包工具
07-16
二.burp suite使用(一) --- 抓包,截包,改包 https://blog.csdn.net/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三...
sqlipy:SQLiPy是Burp Suite的Python插件,它使用SQLMap API集成了SQLMap
05-23
滑溜溜的 SQLiPy是Burp Suite的Python插件,该插件使用SQLMap API集成了SQLMapSQLMap带有基于RESTful的服务器,该服务器将执行SQLMap扫描。 该插件可以为您启动API或连接到已经运行的API来执行扫描。 要求 Jython 2.7 beta,由于使用了json Java 1.7或1.8(Jython 2.7的Beta版需要此功能) 用法 SQLiPy依赖于SQLMap API服务器正在运行的实例。 您可以使用以下命令手动启动服务器: python sqlmapapi.py -s -H <ip> -p <port> 或者,您可以使用SQLMap API选项卡选择要在其上运行的IP /端口,以及系统上pythonsqlmapapi.py的路径。 SQLMap API运行后,只需在目标或代理主选项卡的“请求”子选项卡中单击鼠标右键,然
lilifengcode#Burpsuite-Plugins-Usage#Burpsuite插件之sqlmap4burp-plu
07-25
1.抓包,鼠标右键 选择图中“红框的选项” 2.弹出如下窗口 3.点击OK
burpsuitesqlmap配合,通过sql注入漏洞爆oracle当前用户
zhj9705的博客
07-15 323
注:--proxy=http://127.0.0.1:8080是为了burpsuite里面HTTP history可以看到记录,方便检查访问是正常的,后续为了性能,可以不要。3.点击有注入漏洞的历史记录,保存到文件zhj.txt。burpsuite_pro_v2023.6安装成功。4.编辑保存的文件zhj.txt,找到注入点,加入。..............等待成果。2.在浏览器里面操作,可看历史记录。sqlmap代码下载。
2021Kali系列 -- Burpsuite+Sqlmap批量扫描
weixin_41489908的博客
04-16 1200
​我没有被谁好好爱过,所以只要有人对我好一点,我就以为遇到对的人,如果打扰到你,不好意思。。。 ---- 网易云热评 一、设置BurpSuite,保存日志文件 1、选择Projectoptions====》Misc====Logging,点击Request 2、设置日志文件的名字及保存的位置 二、抓包不用开启,打开自带浏览器,随便访问一些网站 三、查看生成文件的内容,就是我们访问过的数据包 四、用sqlmap扫描上面数据包信息 sqlmap -l burp....
sql注入 BurpSuitesqlmap联动,sqlmap友好图形化界面解决办法 CO2(sqlmap插件) 使用
qq_62433118的博客
10-26 1696
sql注入BurpSuitesqlmap联动,sqlmap友好界面解决办法 CO2(sqlmap插件) 使用
2-1 第一节 Burpsuite+Sqlmap测试SQL注入
山兔的博客
12-05 3241
环境搭建 我们需要有两点条件 1、计算机要具有python2.x 环境 因为我们的sqlmap是运行在python2.x环境上 2、系统具有sqlmap 下载链接:https://sqlmap.org/ 我们可以打开浏览器进行查看 通过这样的站点就可以下载sqlmap 当然我们也需要安装python环境,打开python的官方网站,https://www.python.org 之后Downloads,选择对应的版本 进行下载,这里我们就不进行下载了 因为我们之前已经下载过python了,我们可以打开
Burpsuite安装SQLMap,自动生成注入语句
love9420seeZYC的博客
04-16 352
获取插件后,进入CO2模块,点击Config进行配置,需要选择两个正确路径分别为SQLmappython2.7的安装路径。2.配置好后将抓包信息发送到CO2,将自动生成SQLmap扫描语句。3.之后直接在Kali的命令行中输入:sqlmap 生成语句 即可。所需环境:Kali及其内置的Burpsuite
使用sqlmap+burpsuite进行中级sql注入
shatianyzg的博客
06-01 247
使用sqlmap+burpsuite进行中级sql注入
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值