2-1 第一节 Burpsuite+Sqlmap测试SQL注入

环境搭建

我们需要有两点条件

1、计算机要具有python2.x 环境

因为我们的sqlmap是运行在python2.x环境上

2、系统具有sqlmap 下载链接：https://sqlmap.org/

我们可以打开浏览器进行查看

通过这样的站点就可以下载sqlmap

当然我们也需要安装python环境，打开python的官方网站，https://www.python.org

之后Downloads，选择对应的版本

进行下载，这里我们就不进行下载了

因为我们之前已经下载过python了，我们可以打开终端，输入python，之后就会出现python的交互模式

（我电脑上同时有python2和python3的环境，所以调用python2跟你们会有一些出入）

在这里可以编写python代码

这样子的内容就是python的交互模式

我们输入exit()，按回车，推出交互模式

我们可以通过这些操作，认证出python是否安装成功

有了这两个条件之后，我们就可以用Burpsuite进行插件安装，然后与sqlmap进行连接，使得它俩可以直接连接起来，进行自动化sql检测

Burpsuite插件安装

在Burpsuite中的Extender模块，当中具有插件安装的选项，当我们想要安装某个插件，就需要下载插件，我们下载之后直接进行安装即可。

我们本篇文章使用到的插件是gason.jar，下载链接：https://code.google.com/archive/p/gason/downloads

通过这个链接可以下载gason.jar，打开链接

点击Downloads，选择对应的版本，这里我们应该是下载最新版本

我们点击下载链接即可进行下载

由于jason.jar插件在Windows下的兼容性不是太好，所以我们直接在kali当中直接使用、下载即可

因为我们的kali当中已经默认安装了python2.x环境，以及具有sqlmap，那我们就不需要进行上一步操作，安装对应的环境

我们只需要将下载的gason.jar文件，直接加载到Burpsuite当中进行使用即可

我这边有考虑到到时候会出现各种各样的问题，我已经把插件上传到csdn了，链接在这里：gason-0.9.5.jar-网络攻防文档类资源-CSDN文库

实战演示

打开kali虚拟机、BP

点击Extender

点击Add

我们的下载文件夹已经有了jason.jar文件，我们直接点击select file…

找到jason.jar文件

点击Open>next

这个时候，我们点击Output、Errors没有输出

点击closed

点击Output、Errors也没有具体输出

这个时候，我们就可以确定当前jason.jar文件，加载成功，可以进行使用

Burpsuite+sqlmap探测SQL注入

直接进行截断HTTP请求，将内容发送到sqlmap进行探测。

那么这个时候就会跳转到sqlmap的插件当中，我们点击run，就会出现小图标，我们可以点击小图标进行界面切换，这个时候界面就会调用sqlmap进行sql注入检测，从而达到一种直接通过访问进行sql注入检测的方式而不需要我们输入命令进行检测，大大的加快了我们的检测速度

实战演示

打开sqlilab靶场

这个程序是我们专门用来学习sql注入的一个站点，我们可以在互联网上进行下载，下载链接：https://github.com/Audi-1/sqli-labs

打开下载链接，在github上进行托管

点击Clone or download>Download ZIP，那么就会将它进行下载

这里我就不进行下载了

我们回到kali当中，以less-1进行演示

首先截断less-1的数据包

直接右键，send to sqlmap

在这个页面可以进行详细的设置，我们可以选择对应的cookie，是否探测DB，枚举user或者其它内容。数据库名称、表明、列名、USER用户名，同时也有插件的选项、自定义的优化模块以及要测试的参数

我们暂时不进行其它勾选。点击Run

这个时候就会出现0这个选项，因为我前面试过了，所以显示为2，点击按钮，就可以看到在进行对应的探测，那么它就是直接进行sql注入的检测

可以看到测试完了，但是结果却没有出来，我用kali自带的sqlmap测出来了

可以看到存在id参数注入，通过这几种技术，都可以进行注入

我检查了sqlmap的调用路径，没有错，去网上查了，发现别人的那个也不行，我感觉可能是版本兼容的问题

之前就进行了探测，那么结果就会被储存到对应的位置，下次探测，直接拿取即可

我们也可以将它保存到其它地方，点击Save to file…

点击Save

在这里我进行了测试，发现无法将它保存到桌面，可能是权限不够，会被直接存储到root

我们可以通过终端，来查看内容

给我的感觉是图型界面确实比较好操作，不用输命令，但也有一点不好的，那就是不靠谱，我觉得用bp来改数据包重发就可以了，如果要用其它的功能，还是要找相对应的软件，个人的想法

总结

1、掌握Burpsuite 插件gason.jar安装以及环境的搭建。

2、掌握Burpsuite+sqlmap进行sql自动化注入探测的操作。

同时我们也要理解这个插件确实很方便，需要什么选项直接勾选即可，不要我们大量命令的输入，非常的方便高效，前提是你的软件兼容性没有问题，能够跑出来