懂AI
sqli-hunter

sqli-hunter

简化SQL注入漏洞发现的代理工具

SQLi-Hunter是一个集成HTTP/HTTPS代理服务器和SQLMAP API的开源工具,专门用于简化SQL注入漏洞的检测过程。它支持Docker容器化部署和源码安装,并提供多种配置选项,包括目标主机指定、并发请求控制和注入技术选择等。通过自动化创建、执行和分析SQL注入任务,SQLi-Hunter显著提升了Web应用安全测试的效率,是安全研究人员和渗透测试者的得力助手。

SQLi-HunterSQL注入代理服务器SQLMAP安全测试Github开源项目
访问官网GitHub

SQLi-Hunter

SQLi-Hunter 是一个简单的 HTTP/HTTPS 代理服务器和 SQLMAP API 封装器,使得挖掘 SQL 注入变得容易。

0x0 安装

使用 Docker

  • 构建 Docker 镜像:
docker build -t sqli-hunter https://github.com/zt2/sqli-hunter.git
  • 运行 Docker 镜像:
docker run -ti -p 8080:8080 -p 8081:8081 -v /tmp:/tmp --rm sqli-hunter --host=0.0.0.0

卷参数允许 SQLi-Hunter 将输出文件持久化以在宿主系统上访问。端口映射参数将使 SQLi-Hunter 能够启动一个代理服务器和一个反向 SSL 代理服务器,以便在宿主系统上访问。

  • 在要测试的设备上安装 CA(cert/sqli-hunter.pem
  • 在浏览器中设置代理(端口 8080),然后就可以开始使用了。

从源代码

  • 从最新发布的源代码构建:
git clone https://github.com/sqlmapproject/sqlmap.git
git clone https://github.com/zt2/sqli-hunter.git
cd sqli-hunter
gem install bundler
bundler install
  • 手动启动 SQLMAP API 服务器。
python sqlmapapi.py -s
  • 运行 SQLi-Hunter
ruby bin/sqli-hunter.rb
  • 在浏览器中配置代理服务器设置

0x1 使用方法

  _____ _____ __    _     _____         _
  |   __|     |  |  |_|___|  |  |_ _ ___| |_ ___ ___
  |__   |  |  |  |__| |___|     | | |   |  _| -_|  _|
  |_____|__  _|_____|_|   |__|__|___|_|_|_| |___|_|
  |__|

      SQLMAP API 封装器 by ztz (github.com/zt2)

  用法:bin/sqli-hunter.rb [选项]

常用选项:
    -h, --host=[HOST]                代理服务器绑定主机(默认为 localhost)
    -p, --port=<PORT>                代理服务器绑定端口(默认为 8080)
        --sqlmap-host=[HOST]         sqlmap api 主机(默认为 localhost)
        --sqlmap-port=[PORT]         sqlmap api 端口(默认为 8775)
        --targeted-hosts=[HOSTS]     目标主机,用逗号分隔(默认为全部)
        --version                    显示版本

SQLMAP 选项
        --technique=[TECH]           使用的 SQL 注入技术(默认为 "BEUSTQ")
        --threads=[THREADS]          最大并发 HTTP(s) 请求数(默认为 5)
        --dbms=[DBMS]                强制使用指定的后端 DBMS
        --os=[OS]                    强制使用指定的后端 DBMS 操作系统
        --tamper=[TAMPER]            使用给定的脚本篡改注入数据
        --level=[LEVEL]              执行测试的等级(1-5,默认为 1)
        --risk=[RISK]                执行测试的风险(0-3,默认为 1)
        --mobile                     通过 HTTP User-Agent 标头模仿智能手机
        --smart                      仅在出现正面启发式结果时进行彻底测试
        --random-agent               使用随机选择的 HTTP User-Agent 标头值

输出:

➜  sqli-hunter git:(master) ruby bin/sqli-hunter.rb --targeted-hosts=demo.aisec.cn --threads=15 --random-agent --smart
  [01:50:17] [INFO] [bdf9f3495bb70fbc] 任务已创建
  [01:50:17] [INFO] [bdf9f3495bb70fbc] 任务已开始
  [01:50:20] [INFO] [bdf9f3495bb70fbc] 任务已完成
  [01:50:20][SUCCESS] [bdf9f3495bb70fbc] 任务发现漏洞,使用 'sqlmap -r /var/folders/kb/rwf8j7051x71q4flc_s39wzm0000gn/T/d20191021-40013-17a62ve/5f8a3ad452a15777219b8a5c8c7ec3b6' 进行利用

编辑推荐精选

扣子-AI办公

扣子-AI办公

职场AI,就用扣子

AI办公助手,复杂任务高效处理。办公效率低?扣子空间AI助手支持播客生成、PPT制作、网页开发及报告写作,覆盖科研、商业、舆情等领域的专家Agent 7x24小时响应,生活工作无缝切换,提升50%效率!

堆友

堆友

多风格AI绘画神器

堆友平台由阿里巴巴设计团队创建,作为一款AI驱动的设计工具,专为设计师提供一站式增长服务。功能覆盖海量3D素材、AI绘画、实时渲染以及专业抠图,显著提升设计品质和效率。平台不仅提供工具,还是一个促进创意交流和个人发展的空间,界面友好,适合所有级别的设计师和创意工作者。

图像生成AI工具AI反应堆AI工具箱AI绘画GOAI艺术字堆友相机AI图像热门
码上飞

码上飞

零代码AI应用开发平台

零代码AI应用开发平台,用户只需一句话简单描述需求,AI能自动生成小程序、APP或H5网页应用,无需编写代码。

Vora

Vora

免费创建高清无水印Sora视频

Vora是一个免费创建高清无水印Sora视频的AI工具

Refly.AI

Refly.AI

最适合小白的AI自动化工作流平台

无需编码,轻松生成可复用、可变现的AI自动化工作流

酷表ChatExcel

酷表ChatExcel

大模型驱动的Excel数据处理工具

基于大模型交互的表格处理系统,允许用户通过对话方式完成数据整理和可视化分析。系统采用机器学习算法解析用户指令,自动执行排序、公式计算和数据透视等操作,支持多种文件格式导入导出。数据处理响应速度保持在0.8秒以内,支持超过100万行数据的即时分析。

AI工具酷表ChatExcelAI智能客服AI营销产品使用教程
TRAE编程

TRAE编程

AI辅助编程,代码自动修复

Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。

AI工具TraeAI IDE协作生产力转型热门
AIWritePaper论文写作

AIWritePaper论文写作

AI论文写作指导平台

AIWritePaper论文写作是一站式AI论文写作辅助工具,简化了选题、文献检索至论文撰写的整个过程。通过简单设定,平台可快速生成高质量论文大纲和全文,配合图表、参考文献等一应俱全,同时提供开题报告和答辩PPT等增值服务,保障数据安全,有效提升写作效率和论文质量。

AI辅助写作AI工具AI论文工具论文写作智能生成大纲数据安全AI助手热门
博思AIPPT

博思AIPPT

AI一键生成PPT,就用博思AIPPT!

博思AIPPT,新一代的AI生成PPT平台,支持智能生成PPT、AI美化PPT、文本&链接生成PPT、导入Word/PDF/Markdown文档生成PPT等,内置海量精美PPT模板,涵盖商务、教育、科技等不同风格,同时针对每个页面提供多种版式,一键自适应切换,完美适配各种办公场景。

AI办公办公工具AI工具博思AIPPTAI生成PPT智能排版海量精品模板AI创作热门
潮际好麦

潮际好麦

AI赋能电商视觉革命,一站式智能商拍平台

潮际好麦深耕服装行业,是国内AI试衣效果最好的软件。使用先进AIGC能力为电商卖家批量提供优质的、低成本的商拍图。合作品牌有Shein、Lazada、安踏、百丽等65个国内外头部品牌,以及国内10万+淘宝、天猫、京东等主流平台的品牌商家,为卖家节省将近85%的出图成本,提升约3倍出图效率,让品牌能够快速上架。

下拉加载更多