科普：Burpsuite导出log配合Sqlmap批量扫描注入点

科普：Burpsuite导出log配合Sqlmap批量扫描注入点

动后河 (类的继承) | 2014-02-12 20:19

昨天google了，今天科普：

首先是burp设置记录log，文件名就随便填一个了。

最后，把记录的log文件放sqlmap目录下

sqlmap读log自动测试：

python sqlmap.py -l 文件名 --batch -smart

batch：自动选yes。

smart：启发式快速判断，节约时间。

最后能注入的url会保存到out文件夹下

Expection：log文件中如果有sqlmap无法读取的字符（ascii码之外的字符）会读取失败。

[原文地址]

各种吐槽：

1#

RootUser | 2014-02-12 21:19

mark

2#

老笨蛋 | 2014-02-13 01:30

这个看起来好象很吊的样子。收了。

3#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-02-13 10:18

mark,..

4#

Gavin | 2014-02-13 10:37

mark

5#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-02-13 10:40

用爬虫岂不是更好……

6#

xsser (十根阳具有长短!!) | 2014-02-13 10:41

@核攻击 爬虫有一些ajax不好爬吧 还有移动app你能爬?

7#

Black-Hole (我12破处) | 2014-02-13 13:33

mark 先爬虫 记录请求 sqlmap检索，好主意

8#

rayh4c | 2014-02-13 13:47

这个不错 LOG带COOKIE不

9#

wefgod (求大牛指点) | 2014-02-13 16:06

@xsser 移动客户端确实好麻烦。有的压根爬不了，比如之前某次众测的……