xia SQL (眼睛注) burp 插件 ,在每个参数后面加上一个单引号,两个单引号,一个简单的判注进入小插件

admin 2023年5月30日19:21:04评论108 views字数 821阅读2分44秒阅读模式
xia SQL (眼睛注) burp 插件 ,在每个参数后面加上一个单引号,两个单引号,一个简单的判注进入小插件
xia SQL (瞪注)

本插件只插入单引号,没有其他盲注什么的,并且返回的结果需要人工作介绍去判断是否存在于注入,如果需要所有注入都测试,请把打嗝的流量转移到xray。

注意

  1. 默认使用jdk1.8编译
  2. 在最新版的burp2.x中jdk为1x,会导致插件不可使用,请下载jdk16版本试试,若还不行,请自行下载使用当前电脑的jdk1x源码进行编译,谢谢。
  • burp插件。
  • 在每个参数后面填一个单引号,两个单引号,如果值得纯数字则多加一个-1、-0。
  • 由于不会java,而且又是用java写的,代码太烂,勿喷。
  • 感谢名单:Moonlit、阿猫阿狗、Shincehor、Xm17

插件使用描述

  • 返回✔️代表两个单引号的长度和一个单引号的长度不一致,表明可能存在注入。
  • 返回✔️ ==> ?代表着原始包的长度和两个单引号的长度相同并且和一个单引号的长度不同,表明很可能是注入。
  • 返回Err代表响应包中含有数据库报错信息。
  • 返回diy payload代表自定义的有效载荷。
  • 返回time > 3代表访问网站的时间最大为3秒,可利用该功能配合自定义payload功能测试时间盲注。
  • 支持json格式,V1.9以上版本已支持json多层嵌套。
  • 支持参与人数的价值是纯数字则-1,-0。
  • 支持cookie测试
  • 支持右键发送到插件扫描(哪怕之前扫描过的,仍然可以通过右键发送再扫描一次)备注:右键发送一定要有响应包,当然发不过去,这样才能比和原始数据包的长度。
  • 支持自定义payload。
  • 支持自定义payload中的参数值置空。
  • 监控代理流量。
  • 监控中继流量。
  • 同一个数据包只扫描一次,计算方法:MD5(不带参数的url+参数名+POST/GET)。
  • 支持白名称单功能,若多个域名称请使用,屏蔽
  • 插件截图

xia SQL (眼睛注) burp 插件 ,在每个参数后面加上一个单引号,两个单引号,一个简单的判注进入小插件

项目地址:https://github.com/smxiazi/xia_sql

原文始发于微信公众号(Ots安全):xia SQL (眼睛注) burp 插件 ,在每个参数后面加上一个单引号,两个单引号,一个简单的判注进入小插件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月30日19:21:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   xia SQL (眼睛注) burp 插件 ,在每个参数后面加上一个单引号,两个单引号,一个简单的判注进入小插件http://cn-sec.com/archives/1773536.html

发表评论

匿名网友 填写信息