Burpsuite系列 -- SQLiPy插件使用

最新推荐文章于 2025-06-12 00:05:33 发布
原创 最新推荐文章于 2025-06-12 00:05:33 发布 · 2.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #渗透测试 #Burpsuite #SQLiPy

本文详细介绍了如何在Burp Suite中安装并使用SQLiPy插件,包括安装Jython、Python2、sqlmap及配置环境的步骤,最后演示了如何利用插件进行SQL注入扫描。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

心眼这个东西,如果你想多了就是小心眼,想少了就是缺心眼,一直想呢就是死心眼,不想就是没心眼。。。。

----  网页云热评

提醒:公众号有视频版

一、SQLIPy插件介绍

该插件可以把burp抓到的请求包直接利用sqlmap扫描,下载地址:https://github.com/portswigger/sqli-py

 

二、安装Jython, 由于sqlmap是Python语言编写的,而burp是java编写的所以需要先下载jython-standalone-2.7.0.jar文件

1、下载地址:https://repo1.maven.org/maven2/org/python/jython-installer/2.7.2/jython-installer-2.7.2.jar

2、打开安装包,一路Nnet。

 

三、安装python2

1、下载地址:https://www.python.org/ftp/python/2.7.18/python-2.7.18.amd64.msi

2、双击打开安装包,一路下一步

3、配置环境变量

4、验证环境

 

四、安装sqlmap

1、下载地址:http://sqlmap.org/

2、解压即可使用

 

五、安装 SQLiPy插件

1、 配置插件利用时的python 环境,先将安装的jython路径填写上,再将下载SQLiPy插件的目录填写上

2、选择添加插件,将插件扩展类型改为python,选择我们下载的SQLiPy文件,然后点击下一步,插件就会自动安装

3、安装成功

六、插件利用

1、 设置sqlmapapi监听端口,执行sqlmapapi.py –s可以看到该服务的端口,开启API

2、打开代理,拦截可能存在注入的数据包,右击选择SQLIPy Scan

 

3、设置扫描参数,点击start开始扫描

 

4、结果可以再Target模块的Site map查看,可能存在注入。

5、获取用户名,打钩当前用户,点击start

 

相关工具下载:公众号回复20200522

禁止非法,后果自负

欢迎关注公众号:web安全工具库

提醒:公众号有视频版

DVWA系列(六)——使用Burpsuite进行SQL Injection(SQL注入)
橘子女侠
05-06 1万+
1. SQL注入简介 (1)SQL注入漏洞原理 将恶意的SQL语句拼接到合法的语句中,从而达到执行SQL语句的目的; (2)SQL注入漏洞类型 字符型; 数字型; 搜索型; (3)SQL注入的过程 判断是否存在注入,注入是字符型还是数字型; 猜解SQL查询语句中的字段数; 确定显示位置; 获取当前数据库;获取数据库中表; 获取表中的字段名; 下载数据; 2....
sqlipy:SQLiPy是Burp Suite的Python插件,它使用SQLMap API集成了SQLMap
05-23
滑溜溜的 SQLiPy是Burp Suite的Python插件,该插件使用SQLMap API集成了SQLMap。 SQLMap带有基于RESTful的服务器,该服务器将执行SQLMap扫描。 该插件可以为您启动API或连接到已经运行的API来执行扫描。 要求 Jython 2.7 beta,由于使用了json Java 1.7或1.8(Jython 2.7的Beta版需要此功能) 用法 SQLiPy依赖于SQLMap API服务器正在运行的实例。 您可以使用以下命令手动启动服务器: python sqlmapapi.py -s -H <ip> -p <port> 或者,您可以使用SQLMap API选项卡选择要在其上运行的IP /端口,以及系统上python和sqlmapapi.py的路径。 SQLMap API运行后,只需在目标或代理主选项卡的“请求”子选项卡中单击鼠标右键,然
burpsuite使用sqlipy插件
beautytudou的博客
09-08 956
操作步骤: 1、安装python2.7(安装方法自行搜索,要求在cmd里面python -V的时候看到的是2.7的版本) 2、下载jython2.7 standalone.jar 下载地址:org.python : jython-standalone : 2.7.2 - Maven Central Repository Search 3、在burp里面配置jypthon 这里jython存放的路径不能用中文,否则会报错: java.lang.IllegalArgumentExceptio
渗透测试Burpsuite联合SQLMAP工具
最新发布
2203_75523573的博客
06-12 385
通过CO2插件将BP的请求包可直接发送到SQLMAP工具中,方便进行渗透测试
Burpsuite - Extension: SQLipy
Nixawk
01-03 1379
References https://github.com/codewatchorg/sqlipy/blob/master/SQLiPy.py https://www.codewatch.org/blog/?p=402
【亲测免费】 SQLiPy 使用指南
gitblog_00124的博客
09-12 568
SQLiPy 使用指南 SQLiPy 是一款专为 Burp Suite 设计的 Python 插件,旨在通过整合 SQLMap 的 RESTful API 来自动化执行 SQL 注入扫描任务。此教程将指导您了解项目的基础结构、启动文件以及配置相关知识。 1. 项目目录结构及介绍 SQLiPy 的项目结构简洁明了,主要包含以下几个关键部分: README.md: 此文件提供了关于 SQLiPy 插...
burpsuite与sqlmap联动(sqlipy配置)
Welcome To Myon'Blog !
12-21 2002
下载好之后将这个jar文件放到某个位置(我是直接拉到了burpsuite位置),然后导入该路径。解压sqlmap的压缩包后里面有一个sqlmapapi.py的文件。第二个路径为你自己Python环境的路径,需要写到lib文件夹。关于配置burpsuite与sqlmap联动的介绍至此结束。找到 sqlipy sqlmap integration。下载好后解压,里面还有一个sqlmap的压缩包,一并解压。在burpsuitesqlipy框进行配置。安装成功后会多出一个sqlipy的框。
BurpSuite手册-016-Burp Suite tools-inspector
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会...
BurpSuite手册-017-Burp Suite tools-dom invader
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
burpsuite破解-汉化-使用指导1
08-08
如下图所示就是配置好Java环境了:当以上两部没问题后,就可以开始破解-汉化一系列操作了:破解:打开burp-loader-keygen.jar 复制 Lice
BurpSuite手册-015-Burp Suite tools-logger
07-01
Burp Suite 是一款强大的Web应用程序安全测试平台,包含多个工具,旨在帮助安全专家进行渗透测试和漏洞检测。...Logger是一个强大的辅助工具,对于任何使用Burp Suite的人来说都是不可或缺的一部分。
BurpSuite+sqlmap: SQLiPy扩展使用说明
乐枕的家
06-16 7598
插件说明该插件可以把burp抓到的请求直接扔给sqlmap扫描。安装配置通过顶栏的SQLiPy进入该扩展: 该扩展需要 sqlmapapi.py (sqlmap项目自带)开启服务可以有两种方法开启sqlmapapi,一种是自己在本机先运行 python sqlmapapi.py然后在burp的SQLiPy扩展里填写监听的端口方法二:直接指定python和sqlmapapi.py的位置,然后点击st
Burpsuite加载SQLMAP插件
一杯咖啡的渗透记忆
04-10 6805
一直是将Burpsuite和SQLMap分开来进行处理工作的,但最近发现很多人都说可以将Sqlmap一起加载到burpsuite上面工作,工作效率会好很多。在网上看到很多这方面的文档,发现总是有版本冲突。现在我将我自己配置的分享一下:我的版本是:burpsuite pro 1.7.30 ,网上下载的永久破解版存放路径:Sqlmap版本:最新的SQLMAP加载到burpsuite插件sqlmap....
SQLiPy - Burp套件的SQLMap插件
黑白之道
03-13 504
SQLiPy - Burp套件的SQLMap插件SQLiPy是Burp Suite的Python插件,它使用SQLMap API集成了SQLMap。SQLMap附带一个将执行SQLMap扫描的基于REST的服务器。此插件可以为您启动API或连接到已在运行的API来执行扫描。要求:Jython 2.7测试版,由于使用了jsonJava 1.7或1.8(Jython 2.7的beta版本需要这个)用法
sqli_labs:Less-12 简要SQL注入-基于报错的变形双引号字符串注入(配合Burp Suite食用更佳)
qq_43660551的博客
10-15 461
1.万能用户名、密码:admin。打开Burp Suite的代理准备抓包。 先登录,点Submit。 到Burp Suite看到抓包成功。 将数据包发送到Repeater,开始注入。 判断列名和字段数的方式与第一关相同,只是在BurpSuite进行。字段数为2。经尝试发现,在提交给数据库查询之前,源代码会自动给用户名和密码加上双引号和括号。 判断数据库名和版本号。 uname=1admin") union select version(),database() #&pass..
SQLi Labs writeup (附py脚本)
Le0nis的博客
07-22 1982
less-1GET – 报错注入 – 单引号 – 字符型 PHP代码为: SELECT * FROM users WHERE id='$id' LIMIT 0,1 SQL实际语句为: SELECT * FROM users WHERE id='1' LIMIT 0,1; 1、判断注入 ?id=1
SQLiPy项目推荐
gitblog_01205的博客
10-18 260
SQLiPy项目推荐 项目基础介绍和主要编程语言 SQLiPy是一个专为Burp Suite设计的Python插件,旨在通过SQLMap API集成SQLMap功能。该项目的主要编程语言是Python,同时也包含少量的HTML代码。 项目核心功能 SQLiPy的核心功能是通过SQLMap API将SQLMap的强大SQL注入检测能力集成到Burp Suite中。用户可以通过Burp Suite的界...
SQLI DUMB SERIES-11 及 Burp Suite Professional的简易使用方法
imomoe的博客
09-24 487
11关为POST提交 则我们可以借助工具:BurpLoader 将浏览器设置代理为127.0.0.1 在Burploader中设置代理 在其中添加 127.0.0.1:8080 并在前方的Running复选框打上勾 在工具中打开拦截 此时我们在浏览器中的任何数据都会被拦截 在数据报中右键选择Send to Repeater 我们再进入Repeater选项卡然后...
Unix时间戳编辑利器:Burp-Timestamp-Editor插件详解
1. **Burp Suite插件架构**: Burp-Timestamp-Editor作为一个插件,需要遵循Burp Suite的插件架构和API,以便能够与Burp Suite的核心功能相集成。 2. **GUI组件**: 插件可能使用Java的Swing库或JavaFX框架来构建图形...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值