sqlmap+burpsuit

时间：2020-02-28 15:53:00 阅读：69 评论：0 收藏：0 [点我收藏+]

sqlmap可以批量扫描burpsuit导出的requests日志文件，从而进行批量扫描是否存在SQL注入。

首先设置burpsuit记录代理的Requests 把记录的日志文件保存在sqlmap的目录下 sqlmap读取log文件，实现批量自动化测试

##如果log文件中有sqlmap无法读取的字符，会读取失败##

保存请求包日志

执行命令：python sqlmap.py -l burp.log --batch -smart

执行之后，Linux下，会保存到sqlmap文件夹下的 output 文件夹下；windows下，测试的URL会保存到 C:\User\Administrator\.sqlmap 文件夹下。

我的超级管理员用户是DELL，所以在DELL文件夹下

注入类型和payload等都会保存在log文件中

原文地址：https://www.cnblogs.com/Hunter-01001100/p/12377301.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

周排行