SQLMap工具与Burpsuite信息联动

最新推荐文章于 2024-05-13 21:00:00 发布
最新推荐文章于 2024-05-13 21:00:00 发布
阅读量1.6k 收藏 5
点赞数
文章标签: sql web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzy2003/article/details/131518977
版权

一. 实验目的

通过本实验理解SQLMap软件中-r参数的功能,掌握如何将burpsuit的代理抓包信息调用到SQLMap中来进行SQL注入,熟悉SQLMap的使用与注入流程与思路。

二. 实验环境

渗透平台:Kali
工具:SQLMap、Burpsuit
目标Web服务器:phpcms网站

三. 实验原理

SQLMAP的基础命令:

sqlmap -r “文档信息” –-dbs  // 调用文档信息内容来列举数据库
sqlmap -r “文档信息” -v 1 -D “数据库” –-tables  // 列举数据库的表名
sqlmap -r “文档信息” -v 1 -T “表名” -D “数据库” –-columns  // 获取表的列名
sqlmap -r “文档信息” -v 1 -T “表名” -D “数据库” –-dump  // 获取表中的字段数据信息

四. 实验内容

1、靶机phpstudy启动服务;
2、kali操作机访问目标网站http://远程IP:8083/,点击任意新闻页面;
3、开启抓包,抓取包含id参数网页,保存信息到文件;
4、利用sqlmap进行信息获取

五. 实验步骤

第一步 启动目标Web服务器

进入目标Web服务器,启动phpstudy,点击启动按钮,服务正常启动。
请添加图片描述

第二步 进入KALI平台,配置参数,访问目标Web服务器页面

1、访问目标Web服务器,输入URL参数http://远程IP:8083/
2、点击新闻页面
请添加图片描述

第三步 在KALI平台,Firefox浏览器设置代理监听端口与burpsuit代理抓包功能,将抓取request请求信息保存到info文档

1、Firefox浏览器设置代理监听端口
请添加图片描述
2、Burpsuit设置监听端口与Firefox的相一致
3、在开启burpsuit代理抓包的情况下,重新访问URL,抓取request信息,默认保存为/home/kali/路径下,新建名info
请添加图片描述

第四步 在KALI平台,SQLMap软件采取-r参数读取info文档获取web服务器信息

1、使用参数-r,读取/home/kali/info文档信息
2、最后发现id是可以注入的
请添加图片描述
3、使用命令来获取数据库信息sqlmap –r info -p id --dbs数据库信息如下请添加图片描述
请添加图片描述
4、选取数据库cms来获取表信息sqlmap –r info -p id –D cms --tables获取的表信息
请添加图片描述
请添加图片描述

5、选取数据库cms的cms_users表来获取字段信息sqlmap –r info -p id –D cms -T cms_users --columns获取的字段信息
请添加图片描述
请添加图片描述

6、直接dump整体cms_user表sqlmap –r info -p id –D cms -T cms_users --dump

请添加图片描述
请添加图片描述

六. 思考与总结

通过本次实验,成功实现了SQLMap调用burpsuit代理抓包信息进行SQL注入,掌握如何高效利用其它工具信息来进行SQL注入。

LOST P
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
burpsuite集成sqlmap插件
驻足
05-02 3673
我的独立博客 Marsguest’s Blog burpsuite集成sqlmap插件 环境搭建 1.python 2 2.burpsuite 3.sqlmap 4.sqlmap.jar python 2 安装及配置 首先到 这里 下载与你电脑相对应的python2版本 之后点开安装默认路径一路next就好 python 2环境变量配置(win10) 点开我的电脑...
burpsuite插件sqlmap4burp安装包
01-05
已编译,亲测可直接使用,直接用burpsuite抓包,右键选择send to sqlmap4burp ,直接调用sqlmap进行注入点测试
sql注入 BurpSuitesqlmap联动sqlmap友好图形化界面解决办法 CO2(sqlmap插件) 使用
qq_62433118的博客
10-26 1395
sql注入BurpSuitesqlmap联动sqlmap友好界面解决办法 CO2(sqlmap插件) 使用
Burp Suite安装SQLmap
weixin_42515203的博客
05-13 202
如何再Burp Suite上安装SQLmap插件
burpsuitesql联动工具注入漏洞
mammal7的博客
11-05 2338
工具注入的天花板!burpsuitesqlmap联动注入漏洞。用dvwa靶场来实验一下。
burpsuitesqlmap联动sqlipy配置)
Welcome To Myon'Blog !
12-21 1168
下载好之后将这个jar文件放到某个位置(我是直接拉到了burpsuite位置),然后导入该路径。解压sqlmap的压缩包后里面有一个sqlmapapi.py的文件。第二个路径为你自己Python环境的路径,需要写到lib文件夹。关于配置burpsuitesqlmap联动的介绍至此结束。找到 sqlipy sqlmap integration。下载好后解压,里面还有一个sqlmap的压缩包,一并解压。在burpsuitesqlipy框进行配置。安装成功后会多出一个sqlipy的框。
sqlmap简介
热门推荐
taozpwater的专栏
03-30 1万+
1、简介     sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术,分别是:
[Web安全入门]在BURP中配置SQLMap详解
_DESpiSED的博客
09-17 1387
本文详细介绍了BURPSQLMap联动使用过程中所用到的配置过程
sqlmap burp 联动插件
04-25
sqlmap burp 联动插件
使用sqlmap+burpsuite进行中级sql注入
06-01
使用sqlmap+burpsuite进行中级sql注入,亲测可行
SqlMap_BurpSuite:SqlMap_BurpSuite
03-10
SqlMap_BurpSuite编译好的sqlmap.jargrep -r“发送到Sqlmap” src/burp/SnifferContextMenuFactory.java: JMenuItem jMenuItem = new JMenuItem("send to Sqlmap"); JMenuItem jMenuItem = new JMenuItem("send to ...
DVWA通关必备软件集(DVWA、PHPStudy、SqlMapBurpSuite、AntSword、Python、JRE)
最新发布
05-30
Windows中DVWA通关必备软件集(DVWA、PHPStudy、SqlMapBurpSuite、AntSword、Python、JRE),包含安装使用说明。 Windows中部署DVWA:DVWA、PHPStudy Windows中使用SqlMapSqlMap、Python Windows中使用BurpSuite...
渗透测试基础篇——sqlmap,nmap,burp工具使用
kreas的博客
05-31 1374
源系统向目标系统发一个 syn 请求,请求中包含一个端口号,如果目标端口开启,目标系统通过 syn/ack 来响应源系统,源系统通过 rst 响应目标系统,来断开连接。可以选择主动扫描或者被动扫描,主动扫描过程中会发送新的请求 payload 验证漏洞,被动扫描时 bp 不会重新发送请求,在已经存在的请求和应答分析。使用 FIN 进行测试,T 表示扫描过程中的时序(0-5),值越高扫描速度越快,容易被防火墙屏蔽。主动扫描:xss,http 头注入,重定向,sql 注入,命令行注入,文件遍历、
Burp联动Sqlmap插件
1
03-15 3790
插件介绍 sqlmap4burp++是一款兼容Windows,mac,linux多个系统平台的Burpsqlmap联动插件 这个插件嘎嘎好用,大大提升了sqlmap的效率 项目地址 https://github.com/c0ny1/sqlmap4burp-plus-plus 安装 进入burp拓展模块 点击添加 上传文件 找到下载的插件上传 使用 在数据包页面右击,选择对应的插件进行使用 配置好对应的参数就直接跳转到sqlmap开始运行了 ...
Burpsuite插件系列之sqlmap
2301_80115097的博客
10-18 771
1.启动Burp Suite,选择Extender–》BApp Store,搜索框搜索sqlmap选中SQLipy Sqlmap Integration如下图我们可以看到安装此插件所需环境依赖。发送到SQLipy Scan2.这里我们可以看到,插件自动提取了测试URL及Cookie等参数。喜欢的小伙伴点点关注,可留言想了解的相关知识包括但不限于(云计算、网络安全、数据安全等)2.这里我们可以看到,插件自动提取了测试URL及Cookie等参数。6.在安装好的插件中改为一样的端口,并启动。
burpsuite扩展集成sqlmap插件
dieman0446的博客
12-08 418
通常我们在使用sqlmap测试SQL注入问题的时候会先使用burpsuite来抓包,然后交给sqlmap进行扫描,此操作略显繁琐。 为了避免这种繁琐的重复操作可以将sqlmap以插件的方式集成到burpsuite里面,实现request右击send to Sqlmap了。 1. 环境准备   》 python2.7   》 burpsuite   》 sqlmap   ...
探索SQLMap for Burp:提升Web安全测试效率的新利器
gitblog_00063的博客
03-27 244
探索SQLMap for Burp:提升Web安全测试效率的新利器 项目地址:https://gitcode.com/difcareer/sqlmap4burp SQLMap 是一个知名的自动化SQL注入工具,它帮助网络安全专家检测和利用SQL注入漏洞。而 SQLMap for Burp 则是将SQLMap的功能集成到了流行的Web应用安全测试工具Burp Suite中,为渗透测试者带来了更为便捷...
安全测试 —— 如何使用burpsuite+xray实现联动测试?
MAYUHAO1011的博客
04-12 490
目的:安全测试过程中手动分析测试与xray自动化扫描测试结合,这样可以从多层保障安全测试的分析,针对平台业务接口量大的安全测试是十分有用的,可以实现双向测试同时开始。
burpsuitesqlmap联动
05-01
BurpSuiteSQLMap可以通过一些插件和脚本来实现联动。 首先,你需要在BurpSuite中安装SQLMap插件。这个插件可以帮助你自动化SQL注入测试,同时还提供了一些其他的功能,比如自定义payload、识别数据库类型等。 安装完成后,你可以在BurpSuite中使用SQLMap插件,将请求发送到SQLMap进行注入测试。在BurpSuite中选择需要进行注入测试的请求,右键点击,选择“Send to SQLMap”,然后设置一些参数,比如目标URL、cookie等,就可以将这个请求发送到SQLMap进行注入测试。 另外,你也可以使用BurpSuite的自定义脚本功能,编写一些脚本来实现与SQLMap联动。比如,你可以编写一个脚本,将BurpSuite中的请求自动发送到SQLMap进行注入测试,并将注入结果返回到BurpSuite中进行分析和处理。 需要注意的是,在使用SQLMap进行注入测试时,一定要谨慎操作,避免对目标系统造成不必要的损失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值