Burp Suite CO2 使用方法(完整渗透过程)

已于 2022-10-01 11:01:48 修改
阅读量1.8k 收藏 6
点赞数 1
文章标签: sql 数据库 web安全
于 2022-09-23 23:15:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42378173/article/details/127019034
版权

1.靶机 msf2

2.攻击机 win10 burp

3.下载CO2  

4.下载python3,并且安装

Welcome to Python.orgThe official home of the Python Programming Languagehttps://www.python.org/

1.注意这里最好安装到没有空格的文件夹 如:c\python3install

背后原因竟让人暖心:到时候配置python会出错。后面我会演示有空格回事什么样子的报错

5.下载sqlmap

GitHub - sqlmapproject/sqlmap: Automatic SQL injection and database takeover toolAutomatic SQL injection and database takeover tool - GitHub - sqlmapproject/sqlmap: Automatic SQL injection and database takeover toolhttps://github.com/sqlmapproject/sqlmap

我把两个文件都放在一起的,怎么放随便你。

6.开始burp抓包

这里配置burp代理还有添加证书就不演示了

打开靶机

现在我们已经抓到数据包了(因为是靶机所以这里肯定是有漏洞的)

7.我们发送给CO2

 8.CO2配置环境

-------下面我来演示路径有空格的时候(不用跟着作)---------

以下为演示!!!!!!!!!!!

路径一定要没有空格才行!!!!接下来继续

9.SQL注入

由于我们发送了数据包到CO2,所以配置完环之后就可以直接点击“RUN”来运行了

这里使用sqlmap方法就不说了.......等下直接看结果(其实就是一路yes或者no)

 这就算完成了,我们来看看其他的选项和效果,我们一定要把这个terminal关掉才能继续使用CO2.

10.获取数据库

 就选择这一个就行了,我们点击“RUN”

我们再来看dvwa这里面的表

 好的,我们已经看到了。dvwa这里面的表了。我们在进一步看看有什么内容

好的,看来有用户和密码。那我们就把这个给下载下来

我们再去这个文件夹看看效果

把密码拿去解密看看

md5在线解密破解,md5解密加密https://www.cmd5.com/

 完成!!!!

温馨提示:小心二刺螈
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
【愚公系列】2023年05月 网络安全高级班 058.WEB渗透安全BurpSuite+CO2实现SQL注入)
时光隧道
05-19 8201
Burp Suite是一款常用的web应用程序测试工具,它可以帮助测试人员发现应用程序的漏洞和安全隐患,从而提高应用程序的安全性。Burp Suite具有代理服务器、漏洞扫描器、拦截器、破解器和自动编码/解码等多个功能。通过使用Burp Suite,测试人员可以轻松地进行web应用程序的渗透测试和安全评估。CO2是一个sqlmap助手。只需右键单击Burp中的任何请求,您就会看到一个新的菜单选项,将请求发送到SQLMapper。
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
burpsuitesqlmap结合使用CO2
littlecjx
08-07 1万+
使用sqlmap时,对一个页面进行注入时需要认证信息,如果将页面信息每次都保存到本地比较麻烦,使用命令行指令也需要cookie值。burpsuite中有一个快速sqlmap扫描的工具,CO2是一个burp插件,burp将拦截的请求直接发给CO2,然后调用sqlmap进行扫描,节约了很多时间。 CO2用法如下: 1、选择Extender-BAppStore,也就是burp的插件库中选择CO2,...
Burpsuite安装SQLMap,自动生成注入语句
最新发布
love9420seeZYC的博客
04-16 236
获取插件后,进入CO2模块,点击Config进行配置,需要选择两个正确路径分别为SQLmap和python2.7的安装路径。2.配置好后将抓包信息发送到CO2,将自动生成SQLmap扫描语句。3.之后直接在Kali的命令行中输入:sqlmap 生成语句 即可。所需环境:Kali及其内置的Burpsuite
sql注入 BurpSuitesqlmap联动,sqlmap友好图形化界面解决办法 CO2(sqlmap插件) 使用
qq_62433118的博客
10-26 1477
sql注入BurpSuitesqlmap联动,sqlmap友好界面解决办法 CO2(sqlmap插件) 使用
web安全SQL注入(一)
Longwaer
02-14 1157
学习了解掌握web安全SQL注入的原理及检测方法,更好的用于渗透测试中完成检测。
Burp Suite渗透实战操作指南
huangxuzhi的博客
11-03 1232
Burp必备知识 在介绍功能之前有必要让大家了解一些burp的常用功能,以便在使用中更好的发挥麒麟臂的优势。 1.1  快捷键 很多人可能都没用过burp的快捷键吧,位置如下,不说话,如果不顺手可以自己定义。 1.2  抓包设置 网上设置抓取HTTPS的数据包设置步骤太多,这里来个简单的。其实很多步骤不用按照网上的教程来。 1:访问本地监听的端口,在浏览器或者burp中下载证书。 2:双击证书根据向导安装。下一步,下一步,还是下一步,就...
[Web安全入门]在BURP中配置SQLMap详解
_DESpiSED的博客
09-17 1394
本文详细介绍了BURPSQLMap的联动使用过程中所用到的配置过程
渗透测试工具burpsuite详细使用教程
02-02
burpsuite的详细基础使用教程,全面,基础、详细。是入门的好教程。
Burpsuite插件之BurpKit使用方法1
08-04
BurpSuite插件之BurpKit使用方法详解》 在网络安全评估领域,BurpSuite是一款备受推崇的工具,尤其在Web应用安全测试中扮演着重要角色。而BurpKit,作为BurpSuite的一个插件,进一步提升了其功能性和灵活性,使得...
使用Burpsuite精通Web渗透测试-英文版 非常好
05-20
使用Burpsuite精通Web渗透测试,英文版,原汁原味! 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者。 Get hands-on experience of using Burp Suite to execute ...
BurpSuite 1.7.32 原版+注册机及使用方法
08-25
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多...Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
Burp Suite 实用插件推荐
热门推荐
煜铭2011
04-21 2万+
0x00 前言 使用burpsuite的同学们都知道,这个burpsuite有社区版(免费版) 和专业版(收费版,349美元一年), 在我们平时渗透测试当中,这个可是一把神器, 它和sqlmap 一样极其厉害,但它的主要作用以拦截和修改流量包和检测常见Web漏洞为主,其中也有常规的加密/解密功能、入侵功能、重放功能等等 我们都知道无论是收费版还是免费版,burpsuite 这个软件还是提供了
渗透测试工具——BurpSuite
weixin_59872639的博客
01-14 9199
BurpSuite主要功能模块 BurpSuite其实是由多个不同的小工具(功能模块)组成的集合,工具与工具之间可以联动 主要功能模块: Target:显示目标目录结构的-个功能 Proxy:拦截HTTP/HTTPS的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许拦截、查看修改在两个方向上的原始数据流 Intruder: -一个定制的高度可配置的工具,对Web应用程序进行自动化攻击,如:枚举标识符、收集有用的数据以及使用fuzzing技术探测常规漏洞 Repeater: -个靠手
burpsuitesqlmap
Tian
08-04 2089
burpsuite版本:pro v2021.7 在线测试靶机地址demo.testfire.net/index.jsp 1、安装并启动burpsuite后,进入“Extender-BApp Store"菜单,搜索“sqlmap”,有4个结果 第一个SQLiPy Sqlmap Integration仅包含sqlmap插件功能;本文以安装第三个CO2,集成了多个插件功能为例。 选择第三个后,右侧窗口往下滑,点击Install即可安装。安装成功后需重启程序。重启后一级菜单出现CO2 2、使用..
burpsuit常用插件汇总
Thunderclap的博客
07-02 9189
burpsuit常用插件
burp插件--爆破前端加密(jsEncrypter、BurpCrypto)
94小菜
01-10 9287
目录简介靶场搭建JS加密还原BurpCryptojsEncrypter 简介 背景: 有时候用户名密码都是加密的,如果只是md5加密或者hash,burp的Intruder模块自带加密爆破功能,但是如果是自定义的加密方式,或者多层md5此时就没法直接爆破了,就需要寻找加密算法然后用到插件爆破 插件介绍: jsEncrypter:此插件使用phantomjs启动前端加密函数对数据进行加密,phantomjs会返回加密结果传给burp。因此此插件需要启动phantomjs开启服务,burp去读取结果。 Bur
burpsuite渗透测试方法
08-01
Burp Suite是一款用于攻击web应用程序的集成平台,它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程Burp Suite采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试。以下是Burp Suite的一般渗透测试方法: 1. 配置代理:在Burp Suite中配置代理,将其设置为拦截所有的HTTP/HTTPS请求和响应。 2. 寻找漏洞:使用Burp Suite的各种工具,如扫描器、爬虫、发现器等,对目标应用程序进行主动和被动扫描,以寻找潜在的漏洞。 3. 漏洞利用:一旦发现漏洞,可以使用Burp Suite的各种工具和插件来利用这些漏洞,例如SQL注入、XSS攻击等。 4. 数据篡改:使用Burp Suite的拦截功能,可以修改请求和响应数据包,以测试应用程序的安全性和鲁棒性。 5. 会话管理:Burp Suite提供了会话管理功能,可以捕获和管理应用程序的会话状态,以便更好地测试和模拟用户行为。 需要注意的是,Burp Suite是一款功能强大的工具,但在使用过程中需要遵守法律和道德规范,确保只在合法授权的范围内进行渗透测试。此外,渗透测试应该是一个综合性的过程,除了使用工具外,还需要结合其他方法和技术,如代码审计、安全配置审查等,以确保应用程序的安全性。[2]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值