配置:
首先安裝sqlmap劈伴,傳送門:http://sqlmap.org/
將sqlmap.py加入到path中(在cmd中輸入sqlmap.py不會(huì)報(bào)找不到文件)
下載依賴的jar包:?commons-io-2.4.jar,放置到burpsuite?java?插件的classpath下啊胶,burpsuite中配置路徑為:extender-->options-->Java?Environment
編譯此項(xiàng)目為單獨(dú)的一個(gè)jar文件,添加到burpsuite的java插件中睬涧,配置路徑為:extender-->extentions-->add
之后你將會(huì)看到在主頁面中會(huì)新增一個(gè)tab蝌诡,名字叫做Sqlmap
本插件實(shí)現(xiàn)原理:
將目標(biāo)請(qǐng)求的數(shù)據(jù)存放到臨時(shí)文件中,然后調(diào)用"sqlmap.py?-r?$file"來啟動(dòng)對(duì)請(qǐng)求的sql注入檢測?在Sqlmap?tab中看疙,你可以配置sqlmap除?-r外的其他參數(shù)豆拨,比如:
加入配置中寫:"--level?3",真實(shí)執(zhí)行時(shí)是:sqlmap.py?-r?$file?--level?3
回到burpsuite主頁面,在任何請(qǐng)求連接上右鍵能庆,會(huì)看到新增"send?to?Sqlmap"施禾,點(diǎn)擊后會(huì)開啟cmd窗口,針對(duì)此請(qǐng)求進(jìn)行sql注入檢測
注意:
本插件在windows下開發(fā)并使用搁胆,其他系統(tǒng)需要自行做一些調(diào)整
關(guān)于本插件有任何問題弥搞,歡迎聯(lián)系我:latershowwwc@gmail.com
例子:
下載:
