使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击

admin 2024年12月16日14:06:18评论40 views字数 967阅读3分13秒阅读模式
Burp CO2 是流行的 Web 代理/Web 应用程序测试工具 Burp Suite 的扩展,可在 Portswigger 上获取。您必须先安装 Burp Suite,然后才能安装 Burp CO2 扩展。CO2 扩展包含各种功能来增强某些 Web 渗透测试任务,例如使与 SQLMap 交互更高效、更不容易出错的界面、用于生成用户列表的各种工具、Laudanum 开发 shell 实现,甚至还有用于生成密码的单词生成器。

在本文中,我将向您展示如何通过 burp suit 获取 sqlmap 命令以进行 SQL 注入。

启动burp suit 并单击Extender标签,然后单击包含burp 扩展的BApp store以扩展 burp 的功能。

现在选择CO2单击框架右侧的安装按钮。

使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击
从给定的屏幕截图中您可以看到扩展 CO2 已添加到菜单栏中,现在
单击
CO2
 ,然后选择
SQLMappe
 r 工具。
使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击

现在在您的电脑上打开 DVWA 并使用以下凭据登录:

用户名 – admin

密码 – 密码

单击 DVWA Security并将网站安全级别 设置 为低

从漏洞列表中选择SQL 注入作为攻击。在文本框中输入 用户 ID:'。不要在未设置浏览器代理的情况下单击提交按钮。设置您的浏览器代理以使 burp suite 正常工作。 

使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击

转到 burp suite,单击 菜单栏中的 代理 ,然后选择按钮上的拦截。返回并单击 dvwa 中的提交 按钮。拦截按钮用于显示在浏览器和 Web 服务器之间传递的 HTTP 和 Web Sockets 消息。

现在右键单击其窗口,您将看到已打开的许多操作的列表,然后选择选项发送到 SQLMapper

使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击
当获取的数据被发送到 SQL 映射器时,它将使用 referrer 和 cookie 自动生成
sqlmap 命令
使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击

在这里您可以看到burp suite 框架末尾的选项框。现在单击枚举标签并选中数据库、表、列、用户和密码的复选框

现在从文本字段复制sqlmap 命令并使用sqlmap在终端上手动运行此命令。

使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击
打开终端并将上述命令粘贴到“sqlmap”前面,如屏幕截图所示。现在运行此命令来获取数据库的信息。
使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击
从本教程中,可以清楚地了解如何通过 burp suit 生成 sqlmap 命令以进行 SQL 注入。现在从最后一张图片中,您可以看到它开始转储数据。
使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击

原文始发于微信公众号(三沐数安):使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月16日14:06:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   使用 Sqlmap 和 Burp Suite(Burp CO2 插件)进行 Sql 注入攻击https://cn-sec.com/archives/3507683.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息