ProxySqlmap - 被动式发现SQL注入 - 火线 Zone-安全攻防社区

ProxySqlmap - 被动式发现SQL注入

微信图片_20210622155212 (53)

配置->配置

程序使用需要配置SQLmapApi以及监听端口:

Untitled

在SQLMAP中使用命令开开启SQLmapApi:

sqlmapapi -s --host=0.0.0.0 --port=8899

[15:15:07] [INFO] Running REST-JSON API server at '0.0.0.0:8899'..

[15:15:07] [INFO] Admin ID: 167f411a44783abc6abd061d8677888b

[15:15:07] [DEBUG] IPC database: /tmp/sqlmapipc-HNLL7U

[15:15:07] [DEBUG] REST-JSON API server connected to IPC database

[15:15:07] [DEBUG] Using adapter 'wsgiref' to run bottle

68747470733a2f2f7777772e6875616c6967732e636e2f696d6167652f363063633435666234656464642e6a7067

保存后进行域名配置：

68747470733a2f2f7777772e6875616c6967732e636e2f696d6167652f363063633436326238353536312e6a7067

这里需要使用正则表达式:

^www.baidu.com$

^www.redsec.club$

点击配置->开启后程序将进行工作，将代理设置为127.0.0.1:8081即可，程序会自己对你所点击过的URL以及POST请求进行测试:

68747470733a2f2f7777772e6875616c6967732e636e2f696d6167652f363063633437343739373162322e6a7067

68747470733a2f2f7777772e6875616c6967732e636e2f696d6167652f363063633437343738313337312e6a7067

在检测完成后可选中条目点击右键->打开可查看到漏洞详情：

68747470733a2f2f7777772e6875616c6967732e636e2f696d6167652f363063633437613936646566322e6a7067