3.6 借用SQLiPy实现sqlmap自动化注入
这一节我在Burpsuite实战指南这套课程中讲过,所以这里我就不再演示了,
地址链接:https://www.bilibili.com/video/BV1qe411W7ox?p=26
3.6.1 准备工作
1. 运行Burpsuite
2. 安装SQLiPy插件
3. 准备测试环境
4. 测试网页是否正常
3.6.2 设置Sqlmap API及 IE代理
1. 启动API
2. 设置IE代理
3.6.3 使用Burpsuite拦截并提交数据
1. 在此访问前面的测试网页地址
2. 发送数据包到Repeater
3.6.4 使用SQLiPy进行扫描
1. 将数据发送到SQLiPy Scan
2. 设置Sqlmap Scanner并扫描
3. 查看扫描结果
4. 复现扫描效果
这里查看结果是在Site map 里面查看,选中对应扫描出来的漏洞然后查看详细信息
3.6.5 总结与讨论
本节在Burpsuite下通过SQLiPy 配合进行自动漏洞扫描,真正进行测试后才发现这是个坑,她仅仅是sqlmap扫描进行图形化表示而已,根本就没实现真正的自动化,其实有SQLmap命令进行注入效果是最好的,sqlmap文件夹下默认提供了SQLiPy.py文件
上面是作者吐槽的原话,但是我发现作者说的SQLiPy.py文件我在sqlmap的1.4.5.27版本中并没有发现
