渗透工具实战:使用Sqlmap和Burp Suite进行Sql注入攻击(Burp CO2插件)

Burp CO2是Portswigger提供的名为Burp Suite的流行Web代理/ Web应用程序测试工具的扩展。在安装Burp CO2扩展之前,您必须安装Burp Suite。二氧化碳扩展包括各种功能,以增强某些Web渗透测试任务,例如一个与SQLMap交互更高效,更不容易出错的界面,用于生成用户列表的各种工具,一个Laudanum开发shell实现,甚至一个word masher用于生成密码。
有关详细信息,请从此处阅读e burpco2.com
在这篇文章中,我将向您展示如何通过burp suit获取sqlmap命令以进行sql注入。
开始打嗝西装,点击扩展标签,然后单击BAPP店这cantains打嗝扩展来扩展打嗝的能力。
现在选择CO2点击安装右侧sideof可用按钮框。
使用Sqlmap和Burp Suite进行Sql注入攻击
从给定的截图可以看到扩展CO2增加了菜单栏上现在点击CO2,然后选择SQLMappe R工具。
使用Sqlmap和Burp Suite进行Sql注入攻击
现在打开电脑中的DVWA并使用以下凭据登录:
用户名  - admin
密码  - 密码
单击  DVWA Security  并将网站安全级别设置为  
从漏洞列表中选择SQL Injection进行攻击。在文本框中键入  用户ID:'。不设置浏览器代理,请不要单击提交按钮。设置浏览器代理以使burp套件正常工作。  

转到burp suite点击  菜单栏中的代理 ,然后去  按钮拦截。回来并点击   dvwa中的提交按钮。“拦截”按钮用于显示在浏览器和Web服务器之间传递的HTTP和Web套接字消息。
现在右键单击它的窗口,您将看到已打开的许多操作的列表,然后选择发送到SQLMapper的选项。
使用Sqlmap和Burp Suite进行Sql注入攻击
当获取的数据发送到sqlmapper时,它将自动生成使用referrer和cookie的sqlmap命令

在这里你可以看到burp suite框架末尾的选项框。现在,单击列举的标签,并选择复选框数据库,表,列,用户名和密码
现在从文本字段复制sqlmap命令,并使用sqlmap在终端上手动运行此命令。

打开终端并在“sqlmap”前面粘贴上面的命令,如屏幕截图所示。现在运行此命令以获取数据库的信息。
使用Sqlmap和Burp Suite进行Sql注入攻击
从本教程中可以清楚地了解如何通过burp suit为sql注入生成sqlmap命令。从最后一张图片开始,您可以看到它开始转储数据。
使用Sqlmap和Burp Suite进行Sql注入攻击
转载请注明本文链接: http://www.mayidui.net/t2336.html
游客
登录后才可以回帖,登录 或者 注册