懂AI
sqli-hunter

sqli-hunter

简化SQL注入漏洞发现的代理工具

SQLi-Hunter是一个集成HTTP/HTTPS代理服务器和SQLMAP API的开源工具,专门用于简化SQL注入漏洞的检测过程。它支持Docker容器化部署和源码安装,并提供多种配置选项,包括目标主机指定、并发请求控制和注入技术选择等。通过自动化创建、执行和分析SQL注入任务,SQLi-Hunter显著提升了Web应用安全测试的效率,是安全研究人员和渗透测试者的得力助手。

SQLi-HunterSQL注入代理服务器SQLMAP安全测试Github开源项目
访问官网GitHub

SQLi-Hunter

SQLi-Hunter 是一个简单的 HTTP/HTTPS 代理服务器和 SQLMAP API 封装器,使得挖掘 SQL 注入变得容易。

0x0 安装

使用 Docker

  • 构建 Docker 镜像:
docker build -t sqli-hunter https://github.com/zt2/sqli-hunter.git
  • 运行 Docker 镜像:
docker run -ti -p 8080:8080 -p 8081:8081 -v /tmp:/tmp --rm sqli-hunter --host=0.0.0.0

卷参数允许 SQLi-Hunter 将输出文件持久化以在宿主系统上访问。端口映射参数将使 SQLi-Hunter 能够启动一个代理服务器和一个反向 SSL 代理服务器,以便在宿主系统上访问。

  • 在要测试的设备上安装 CA(cert/sqli-hunter.pem
  • 在浏览器中设置代理(端口 8080),然后就可以开始使用了。

从源代码

  • 从最新发布的源代码构建:
git clone https://github.com/sqlmapproject/sqlmap.git
git clone https://github.com/zt2/sqli-hunter.git
cd sqli-hunter
gem install bundler
bundler install
  • 手动启动 SQLMAP API 服务器。
python sqlmapapi.py -s
  • 运行 SQLi-Hunter
ruby bin/sqli-hunter.rb
  • 在浏览器中配置代理服务器设置

0x1 使用方法

  _____ _____ __    _     _____         _
  |   __|     |  |  |_|___|  |  |_ _ ___| |_ ___ ___
  |__   |  |  |  |__| |___|     | | |   |  _| -_|  _|
  |_____|__  _|_____|_|   |__|__|___|_|_|_| |___|_|
  |__|

      SQLMAP API 封装器 by ztz (github.com/zt2)

  用法:bin/sqli-hunter.rb [选项]

常用选项:
    -h, --host=[HOST]                代理服务器绑定主机(默认为 localhost)
    -p, --port=<PORT>                代理服务器绑定端口(默认为 8080)
        --sqlmap-host=[HOST]         sqlmap api 主机(默认为 localhost)
        --sqlmap-port=[PORT]         sqlmap api 端口(默认为 8775)
        --targeted-hosts=[HOSTS]     目标主机,用逗号分隔(默认为全部)
        --version                    显示版本

SQLMAP 选项
        --technique=[TECH]           使用的 SQL 注入技术(默认为 "BEUSTQ")
        --threads=[THREADS]          最大并发 HTTP(s) 请求数(默认为 5)
        --dbms=[DBMS]                强制使用指定的后端 DBMS
        --os=[OS]                    强制使用指定的后端 DBMS 操作系统
        --tamper=[TAMPER]            使用给定的脚本篡改注入数据
        --level=[LEVEL]              执行测试的等级(1-5,默认为 1)
        --risk=[RISK]                执行测试的风险(0-3,默认为 1)
        --mobile                     通过 HTTP User-Agent 标头模仿智能手机
        --smart                      仅在出现正面启发式结果时进行彻底测试
        --random-agent               使用随机选择的 HTTP User-Agent 标头值

输出:

➜  sqli-hunter git:(master) ruby bin/sqli-hunter.rb --targeted-hosts=demo.aisec.cn --threads=15 --random-agent --smart
  [01:50:17] [INFO] [bdf9f3495bb70fbc] 任务已创建
  [01:50:17] [INFO] [bdf9f3495bb70fbc] 任务已开始
  [01:50:20] [INFO] [bdf9f3495bb70fbc] 任务已完成
  [01:50:20][SUCCESS] [bdf9f3495bb70fbc] 任务发现漏洞,使用 'sqlmap -r /var/folders/kb/rwf8j7051x71q4flc_s39wzm0000gn/T/d20191021-40013-17a62ve/5f8a3ad452a15777219b8a5c8c7ec3b6' 进行利用

编辑推荐精选

Vora

Vora

免费创建高清无水印Sora视频

Vora是一个免费创建高清无水印Sora视频的AI工具

Refly.AI

Refly.AI

最适合小白的AI自动化工作流平台

无需编码,轻松生成可复用、可变现的AI自动化工作流

酷表ChatExcel

酷表ChatExcel

大模型驱动的Excel数据处理工具

基于大模型交互的表格处理系统,允许用户通过对话方式完成数据整理和可视化分析。系统采用机器学习算法解析用户指令,自动执行排序、公式计算和数据透视等操作,支持多种文件格式导入导出。数据处理响应速度保持在0.8秒以内,支持超过100万行数据的即时分析。

AI工具酷表ChatExcelAI智能客服AI营销产品使用教程
TRAE编程

TRAE编程

AI辅助编程,代码自动修复

Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。

AI工具TraeAI IDE协作生产力转型热门
AIWritePaper论文写作

AIWritePaper论文写作

AI论文写作指导平台

AIWritePaper论文写作是一站式AI论文写作辅助工具,简化了选题、文献检索至论文撰写的整个过程。通过简单设定,平台可快速生成高质量论文大纲和全文,配合图表、参考文献等一应俱全,同时提供开题报告和答辩PPT等增值服务,保障数据安全,有效提升写作效率和论文质量。

AI辅助写作AI工具AI论文工具论文写作智能生成大纲数据安全AI助手热门
博思AIPPT

博思AIPPT

AI一键生成PPT,就用博思AIPPT!

博思AIPPT,新一代的AI生成PPT平台,支持智能生成PPT、AI美化PPT、文本&链接生成PPT、导入Word/PDF/Markdown文档生成PPT等,内置海量精美PPT模板,涵盖商务、教育、科技等不同风格,同时针对每个页面提供多种版式,一键自适应切换,完美适配各种办公场景。

AI办公办公工具AI工具博思AIPPTAI生成PPT智能排版海量精品模板AI创作热门
潮际好麦

潮际好麦

AI赋能电商视觉革命,一站式智能商拍平台

潮际好麦深耕服装行业,是国内AI试衣效果最好的软件。使用先进AIGC能力为电商卖家批量提供优质的、低成本的商拍图。合作品牌有Shein、Lazada、安踏、百丽等65个国内外头部品牌,以及国内10万+淘宝、天猫、京东等主流平台的品牌商家,为卖家节省将近85%的出图成本,提升约3倍出图效率,让品牌能够快速上架。

iTerms

iTerms

企业专属的AI法律顾问

iTerms是法大大集团旗下法律子品牌,基于最先进的大语言模型(LLM)、专业的法律知识库和强大的智能体架构,帮助企业扫清合规障碍,筑牢风控防线,成为您企业专属的AI法律顾问。

SimilarWeb流量提升

SimilarWeb流量提升

稳定高效的流量提升解决方案,助力品牌曝光

稳定高效的流量提升解决方案,助力品牌曝光

Sora2视频免费生成

Sora2视频免费生成

最新版Sora2模型免费使用,一键生成无水印视频

最新版Sora2模型免费使用,一键生成无水印视频

下拉加载更多