burpsuit常用插件学习笔记
0x01 sqlipy
sqlipy的安装
由于sqlmap是Python语言编写的,而burp是java编写的所以需要先下载jython-standalone-2.7.0.jar文件,然后进行使用。jython是它是一个Python语言在Java中的完全实现。Jython不仅给你提供了Python的库,同时也提供了所有的Java类。
jython-standalone-2.7.0.jar下载地址: http://search.maven.org/remotecontent?filepath=org/python/jython-standalone/2.7.0/jython-standalone-2.7.0.jar
我用的是burp2.0,下载完之后在Extender里面的options里面设置python和java的路径
设置完路径在
安装后,我们对其进行一个使用。
sqlipy的使用
首先我们打开sqlmapapi.py进行一个监听
接下来我们对DVWA进行一个测试,打开sql注入的栏目,然后抓包,在右击鼠标将其使用sqlipy scan
然后设置sqlmap api的相关环境路径:
切记路径不能使用中文。
设置sqlmap的参数,然后点击start scan 然后在sqlmap的logs可以看到注入日志。
0x02 co2
co2也是使用sqlmap配合burpsuit的插件,但是感觉界面的设置更友好,我们在商店安装后,然后抓包,发送到send sqlmapper,点击选项卡co2,进入sqlmap注入的配置界面,
点击config,配置sqlmap的一个路径,然后下面options就可以进行一个sqlmap选项的配置,最后点击config上面的run,就可以看到一个命令行参数运行sqlmap,这个插件比上面的插件界面更加友好,可以配置的选项很多。
