一款集成sqlmap到burpsuite中间插件(整合两个神器),在网上找到类似的插件,找到一个:https://code.google.com/p/gason/,不过对windows支持不好,自己开发一个。
配置:
首先安装sqlmap,传送门:http://sqlmap.org/
将sqlmap.py加入到path中(在cmd中输入sqlmap.py找不到文件也不会报)
下载依赖的jar包: commons-io-2.4.jar,放置到burpsuite java 插件的classpath下,burpsuite中配置路径如下:extender-->options-->Java Environment
编译这个项目是一个单独的项目jar添加文件burpsuite的java配置路径为:extender-->extentions-->add
之后你会在主页上看到一个新的tab,名字叫做Sqlmap
本插件实现原理:
将目标要求的数据存储在临时文件中,然后调用"sqlmap.py -r $file"启动请求sql注入检测 在Sqlmap tab您可以在中间配置sqlmap除 -r其他外部参数,如:
加入配置:"--level 3",实际执行是:sqlmap.py -r $file --level 3
回到burpsuite主页,右键连接到任何请求,将看到新的"send to Sqlmap",点击后打开cmd窗口,针对这个请求sql注入检测
注意:
本插件在windows其他系统需要自行调整
关于本插件有任何问题,欢迎联系我:latershowwwc@gmail.com
例子:
下载:
github:https://github.com/difcareer/sqlmap4burp