码迷,mamicode.com
首页 > 数据库 > 详细

sqlmap批量扫描burpsuite拦截的日志记录

时间:2017-07-11 23:14:51      阅读:344      评论:0      收藏:0      [点我收藏+]

标签:如何   功能   分析   art   指定   过滤   日志   资源   模式   

1、功能上,sqlmap具备对burpsuite拦截的request日志进行批量扫描的能力

python sqlmap.py -l hermes.log --batch -v 3

  --batch:会自动选择yes

  -l : 指定日志文件

      -v: 调试信息等级,3级的话,可以看大注入的payload信息

技术分享

2、如何配置burpsuite拦截扫描对象?

技术分享

4、其他方式拦截的request日志文件,也可以

技术分享

5、使用--smart智能探测效果不是很好,还是采用一些配置,加深扫描比较好

python sqlmap.py -l hermes.log --batch --level 3 --risk 3 --dbms=mysql -v 3 --thread 3

6、使用另一个过滤工具对扫描拦截的日志内容进行筛选:

由于BurpSuite的日志记录了所有走代理的流量,包括静态资源啊,重复的提交啊,这些都会影响SqlMap的分析效率。于是打算写一个小程序,可以做到:

  • 可以按照域名过滤请求
  • 可以自动过滤静态资源请求
  • 可以自动按照模式过滤URL,即相同URL和参数的请求,只会留其一(参数值对于SqlMap没有什么作用)

https://github.com/tony1016/BurpLogFilter

http://www.cnblogs.com/sn00py/p/5838637.html

sqlmap批量扫描burpsuite拦截的日志记录

标签:如何   功能   分析   art   指定   过滤   日志   资源   模式   

原文地址:http://www.cnblogs.com/shengulong/p/7152413.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!