SQL注入之sqlmap配合burp suite使用

推荐一个插件可以更加方便的使用sqlmap(sqlmap的详解命令介绍见上一篇文章

1.CO2

burp suite里面Extender模块中BApp Store里面找到CO2
点击install,安装,安装完成后会在上面显示有一个CO2模块

clipboard.png

然后打开CO2模块,点击右边的config配置---选择sqlmap和python,Launcher选择cmd就行;

2.png

配置完成后就可以使用了

以sqli-labs第一关举例:

打开sqli-labs第一关打开代理抓包-----右键---send to SQLMAPER(见下图)

3.png

然后将数据包发送到CO2模块,SQLMapper里:
可以在options里面选择参数:

4.png

选好后,点击run就开始sqlmap了。不选择参数options时,就检测是否存在注入

5.png

可以指定参数
比如:想获取当前连接数据库名:

6.png

7.png

然后检测当前数据库的所有表名:将数据库名填到下方Set limits:

8.png

9.png

获取字段--和上面一样,把表名填入,勾选columns就可以了;

10.png

11.png

获取数据:

12.png

13.png

快去练习使用把!
注意:改变参数时记得先把cmd关了,不然没有办法修改

标签: none

添加新评论