HanDs
NO.2

[入侵交流] [入侵渗透] burpsuite联合sqlmap扫描注入点 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看



[hide]

前段时间用了matt大牛的轮子,感觉还可以,但并不支持https,这是硬伤。其次对环境要求也比较高,cpu占用也很高。
其实我们在众测的时候完全可以使用burpsuite联合sqlmap测试目标的注入漏洞。对get和post型注入都支持。
先来记录proxy的log , 记住路径
32345667334646 (2)
把proxy拦截关掉
32345667334646 (1)
接下来浏览器配置代理,对目标站点一通请求,我一般都找页面比较偏僻的小功能
adadadadda
sqlmap对log一通测试

python sqlmap.py -l c:\log.txt –batch

qdddddgddfd
也可以加个–smart参数,启动启发式快速判断,节约时间,但是据我测试会漏报

python sqlmap.py -l c:\log.txt –batch –smart

结果输出在

[11:53:16] [INFO] you can find results of scanning in multiple targets mode inside the CSV file 
‘C:\Users\Administrator\.sqlmap\output\results-03122016_1147am.csv’

qqqqazxxx
算是效果还不错 
45656654hhhh



[/hide]




学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
burpsuite 联合 sqlmap 扫描注入点
#1楼
发帖时间:2016-8-10   |   查看数:0   |   回复数:0
游客组