您的位置: 首页  >  文章  >  Burpsuite+Sqlmap批量扫描注入

Burpsuite+Sqlmap批量扫描注入

分类: 文章 2024-05-04 19:35:28

主要思路

  1. 使用burpsuite对网站进行分析,将proxy的requests记录到日志中。
  2. 使用脚本过滤日志,得到去重后的目标主机。地址如下:https://github.com/tony1016/BurpLogFilter
  3. 利用sqlmap对过滤后的目标主机进行扫描

实现过程

  1. 在burpsuite开启日志,将proxy中的requests记录到日志中。
    Burpsuite+Sqlmap批量扫描注入
  2. 利用burplogfilter.py对日志信息进行处理,处理原因如下:
    除去重复请求;删除html、js等无关请求;删除目标主机外的请求。
    代码执行出现如下错误,是因为编码问题,将编码改为utf-8即可。
    TypeError: cannot use a string pattern on a bytes-like object
  3. 使用sqlmap对处理后的requests信息进行注入扫描
    sqlmap -l sql.txt --batch -smart

`

相关推荐