通常我们在使用sqlmap测试SQL注入问题的时候会先使用burpsuite来抓包,然后交给sqlmap进行扫描,此操作略显繁琐。
为了避免这种繁琐的重复操作可以将sqlmap以插件的方式集成到burpsuite里面,实现request右击send to Sqlmap了。
1. 环境准备
》 python2.7
》 burpsuite
》 sqlmap
》 sqlmap.jar包
2. python安装并且配置环境变量
sqlmap的使用需要python环境,而python的安装可以在官网下载相应的系统版本,安装目录通常是C:Python27,然后将该路径添加到系统环境变量里。
然后cmd下输入python会显示版本信息等表示安装并配置成功
3. sqlmap 配置环境变量
将你的sqlmap同样添加到环境变量里面,因为burpsuite在调用的时候会直接通过sqlmap.py调用,
如果sqlmap不在环境变量里面会报错。配置原理同配置python一样,只需要在path后面添加python的安装路径即可(注意;的添加)
重启cmd然后输入sqlmap.py后弹出版本说明等内容即为配置成功。
4. 下载需要集成的jar文件sqlmap.jar
链接:http://pan.baidu.com/s/1skDVwq5 密码:ce5f
5. 打开burpsuite,按以下顺序将sqlmap.jar包导入
导入后发现sqlmap标签已成功添加
6. 现在随意抓包测试,将request送到sqlmap里
我们扫描的request文件会保存在上图中红框标记的目录下,打开看一下