1、概述
sqlmap是一款开源、功能强大的自动化SQL注入工具,支持多种数据库和多种注入方式。在注入的时候,只需输入几条命令,便能为你节约大量的人力、物力、财力。
但很少有人知道,sqlmap
提供API
,我们可以根据提供的API
开发一个前端界面。已经有大神开发完成了,他就是 Hood3dRob1n(github.com/Hood3dRob1n…),他用PHP
为sqlmap
开发了一个webui
。本教程将教大家在Kali
上配置这个工具。
2、配置SQLMAP-Web-GUI
2、1 克隆项目
首先从github
克隆项目文件到本地。
# cd /var/www/html/ //切换到 web根目录
/var/www/html# git clone https://github.com/Hood3dRob1n/SQLMAP-Web-GUI //克隆项目
/var/www/html# cd SQLMAP-Web-GUI/
/var/www/html/SQLMAP-Web-GUI# mv sqlmap .. //移动项目文件到 web根目录
/var/www/html/SQLMAP-Web-GUI# cd ..
/var/www/html# ls
index.html index.lighttpd.html index.nginx-debian.html sqlmap SQLMAP-Web-GUI
/var/www/html# chmod 777 -R sqlmap/ //更改权限
复制代码
2、2 启动apache服务
接下来打开http
服务,如果没有安装apache
,可以执行apt-get install apache2
命令进行安装。
启动http
服务,命令如下:
# systemctl start apache2
复制代码
2、3 启动sqlmapapi服务
查找 sqlmapapi.py
文件的位置
# locate sqlmapapi.py
/usr/share/golismero/tools/sqlmap/sqlmapapi.py
/usr/share/sqlmap/sqlmapapi.py
/usr/share/sqlmap/sqlmapapi.pyc
复制代码
启动sqlmapapi
:
# python /usr/share/sqlmap/sqlmapapi.py -s //启动sqlmapapi服务
[13:00:04] [INFO] Running REST-JSON API server at '127.0.0.1:8775'..
[13:00:04] [INFO] Admin ID: ab18c70ad52882a22bb292012edde66b
[13:00:04] [DEBUG] IPC database: '/tmp/sqlmapipc-azBGY8'
[13:00:04] [DEBUG] REST-JSON API server connected to IPC database
[13:00:04] [DEBUG] Using adapter 'wsgiref' to run bottle
复制代码
2、4 访问WebUI界面
使用浏览器访问http://localhost/sqlmap/
即可,如果之前的配置都顺利的话,就能看到WebUI
界面了:
功能介绍:
Basic:设置需要测试的URL
地址,和http
请求方法
Request:修改HTTP
请求的一些参数,比如延时、认证,UA等
Injection & Technique:选择应用哪种注入和技术
Detection:设置要匹配的自定义字符串
Enumeration:设置要检索哪些数据
Access:访问参数,如果不清楚,保持默认值即可
3、基于SQLi-labs 进行测试
提示:请遵守相关法律法规,不要对真实网站进行测试。
这里我们选择sqli-labs
环境进行测试。
我们选择第一节好了,第一节是一个报错型注入,我们把第一节的URL
填入:
切换到Injection & Technique
选项卡,选择注入类型
切换到Enumeration
选项卡,选择要检索的数据
可以按住Ctrl
键多选
当设置好你想要的参数后,就可以点Run SQLMAP Web Scan
进行测试了。
等待测试结果即可
4、总结
在本教程中,我们仅做了简单的测试。
相对命令行来说,SQLMAP WebUI
易于使用,不需要记住繁杂的命令和参数选项。
5、说明
本文由合天网安实验室编译,转载请注明来源。
原文链接:
Configure Sqlmap for WEB-GUI in Kali Linux
关于合天网安实验室
合天网安实验室(www.hetianlab.com)-国内领先的实操型网络安全在线教育平台
真实环境,在线实操学网络安全 ; 实验内容涵盖:系统安全,软件安全,网络安全,Web安全,移动安全,CTF,取证分析,渗透测试,网安意识教育等。