渗透神器合体:在BurpSuite中集成Sqlmap

2014-09-28 +10 1456317人围观 ,发现 41 个不明物体 工具

一款集成sqlmap到burpsuite中的插件(整合两大神器),在网上寻找类似的插件,发现了一款:https://code.google.com/p/gason/,不过对windows支持并不好,于是自己动手开发一款。

配置:

  1. 首先安装sqlmap,传送门:http://sqlmap.org/
    将sqlmap.py加入到path中(在cmd中输入sqlmap.py不会报找不到文件)
    下载依赖的jar包: commons-io-2.4.jar,放置到burpsuite java 插件的classpath下,burpsuite中配置路径为:extender-->options-->Java Environment
    编译此项目为单独的一个jar文件,添加到burpsuite的java插件中,配置路径为:extender-->extentions-->add
    之后你将会看到在主页面中会新增一个tab,名字叫做Sqlmap

本插件实现原理:

将目标请求的数据存放到临时文件中,然后调用"sqlmap.py -r $file"来启动对请求的sql注入检测 在Sqlmap tab中,你可以配置sqlmap除 -r外的其他参数,比如:
加入配置中写:"--level 3",真实执行时是:sqlmap.py -r $file --level 3
回到burpsuite主页面,在任何请求连接上右键,会看到新增"send to Sqlmap",点击后会开启cmd窗口,针对此请求进行sql注入检测

注意:

  1. 本插件在windows下开发并使用,其他系统需要自行做一些调整
    关于本插件有任何问题,欢迎联系我:latershowwwc@gmail.com

例子:

下载:

github:https://github.com/difcareer/sqlmap4burp

这些评论亮了

  • z7y嘿铲牛 回复
    感谢楼主的付出,但是,由于项目少了Lang和IO的包,可能多数小伙伴是打包成jar了要报错的。
    commons-io-2.4.jar自己去csdn下载。
    附上打包好了的sqlmap.jar
    链接: http://pan.baidu.com/s/1i37S8mx 密码: aelp
    我不叫雷锋,我叫嘿铲牛z7y!
    )92( 亮了
发表评论

已有 41 条评论

取消
Loading...

我在简书上发起了一个Android安全专题,分为很多个子专题,专门用来收集整理各类和Android安全有关的知识,欢迎志同道合的朋友一起来维护,分享知识,结识朋友,是一件很有趣的事情。 专题地址:http://www.jianshu.com/collection/59a3e85f25ee

2 文章数 50 评论数

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php