xia SQL (眼睛注) burp 插件 ,在每个参数后面加上一个单引号,两个单引号,一个简单的判注进入小插件
2023-5-29 09:32:19 Author: Ots安全(查看原文) 阅读量:33 收藏

xia SQL (瞪注)

本插件只插入单引号,没有其他盲注什么的,并且返回的结果需要人工作介绍去判断是否存在于注入,如果需要所有注入都测试,请把打嗝的流量转移到xray。

注意

  1. 默认使用jdk1.8编译

  2. 在最新版的burp2.x中jdk为1x,会导致插件不可使用,请下载jdk16版本试试,若还不行,请自行下载使用当前电脑的jdk1x源码进行编译,谢谢。

  • burp插件。

  • 在每个参数后面填一个单引号,两个单引号,如果值得纯数字则多加一个-1、-0。

  • 由于不会java,而且又是用java写的,代码太烂,勿喷。

  • 感谢名单:Moonlit、阿猫阿狗、Shincehor、Xm17

插件使用描述

  • 返回✔️代表两个单引号的长度和一个单引号的长度不一致,表明可能存在注入。

  • 返回✔️ ==> ?代表着原始包的长度和两个单引号的长度相同并且和一个单引号的长度不同,表明很可能是注入。

  • 返回Err代表响应包中含有数据库报错信息。

  • 返回diy payload代表自定义的有效载荷。

  • 返回time > 3代表访问网站的时间最大为3秒,可利用该功能配合自定义payload功能测试时间盲注。

  • 支持json格式,V1.9以上版本已支持json多层嵌套。

  • 支持参与人数的价值是纯数字则-1,-0。

  • 支持cookie测试

  • 支持右键发送到插件扫描(哪怕之前扫描过的,仍然可以通过右键发送再扫描一次)备注:右键发送一定要有响应包,当然发不过去,这样才能比和原始数据包的长度。

  • 支持自定义payload。

  • 支持自定义payload中的参数值置空。

  • 监控代理流量。

  • 监控中继流量。

  • 同一个数据包只扫描一次,计算方法:MD5(不带参数的url+参数名+POST/GET)。

  • 支持白名称单功能,若多个域名称请使用,屏蔽

  • 插件截图

项目地址:https://github.com/smxiazi/xia_sql

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247498175&idx=3&sn=fbcee0d24e779e660406661e1b12f325&chksm=9badb0f4acda39e2caa82a1bfae73f83812a2da345db79a614aa676bd715eb57834c7b7e4e70#rd
如有侵权请联系:admin#unsafe.sh