SQLi-Hunter
SQLi-Hunter 是一个简单的 HTTP/HTTPS 代理服务器和 SQLMAP API 封装器,使得挖掘 SQL 注入变得容易。
0x0 安装
使用 Docker
- 构建 Docker 镜像:
docker build -t sqli-hunter https://github.com/zt2/sqli-hunter.git
- 运行 Docker 镜像:
docker run -ti -p 8080:8080 -p 8081:8081 -v /tmp:/tmp --rm sqli-hunter --host=0.0.0.0
卷参数允许 SQLi-Hunter 将输出文件持久化以在宿主系统上访问。端口映射参数将使 SQLi-Hunter 能够启动一个代理服务器和一个反向 SSL 代理服务器,以便在宿主系统上访问。
- 在要测试的设备上安装 CA(
cert/sqli-hunter.pem) - 在浏览器中设置代理(端口
8080),然后就可以开始使用了。
从源代码
- 从最新发布的源代码构建:
git clone https://github.com/sqlmapproject/sqlmap.git
git clone https://github.com/zt2/sqli-hunter.git
cd sqli-hunter
gem install bundler
bundler install
- 手动启动 SQLMAP API 服务器。
python sqlmapapi.py -s
- 运行 SQLi-Hunter
ruby bin/sqli-hunter.rb
- 在浏览器中配置代理服务器设置
0x1 使用方法
_____ _____ __ _ _____ _
| __| | | |_|___| | |_ _ ___| |_ ___ ___
|__ | | | |__| |___| | | | | _| -_| _|
|_____|__ _|_____|_| |__|__|___|_|_|_| |___|_|
|__|
SQLMAP API 封装器 by ztz (github.com/zt2)
用法:bin/sqli-hunter.rb [选项]
常用选项:
-h, --host=[HOST] 代理服务器绑定主机(默认为 localhost)
-p, --port=<PORT> 代理服务器绑定端口(默认为 8080)
--sqlmap-host=[HOST] sqlmap api 主机(默认为 localhost)
--sqlmap-port=[PORT] sqlmap api 端口(默认为 8775)
--targeted-hosts=[HOSTS] 目标主机,用逗号分隔(默认为全部)
--version 显示版本
SQLMAP 选项
--technique=[TECH] 使用的 SQL 注入技术(默认为 "BEUSTQ")
--threads=[THREADS] 最大并发 HTTP(s) 请求数(默认为 5)
--dbms=[DBMS] 强制使用指定的后端 DBMS
--os=[OS] 强制使用指定的后端 DBMS 操作系统
--tamper=[TAMPER] 使用给定的脚本篡改注入数据
--level=[LEVEL] 执行测试的等级(1-5,默认为 1)
--risk=[RISK] 执行测试的风险(0-3,默认为 1)
--mobile 通过 HTTP User-Agent 标头模仿智能手机
--smart 仅在出现正面启发式结果时进行彻底测试
--random-agent 使用随机选择的 HTTP User-Agent 标头值
输出:
➜ sqli-hunter git:(master) ruby bin/sqli-hunter.rb --targeted-hosts=demo.aisec.cn --threads=15 --random-agent --smart
[01:50:17] [INFO] [bdf9f3495bb70fbc] 任务已创建
[01:50:17] [INFO] [bdf9f3495bb70fbc] 任务已开始
[01:50:20] [INFO] [bdf9f3495bb70fbc] 任务已完成
[01:50:20][SUCCESS] [bdf9f3495bb70fbc] 任务发现漏洞,使用 'sqlmap -r /var/folders/kb/rwf8j7051x71q4flc_s39wzm0000gn/T/d20191021-40013-17a62ve/5f8a3ad452a15777219b8a5c8c7ec3b6' 进行利用
编辑推荐精选
TRAE编程
AI辅助��编程,代码自动修复
Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。
蛙蛙写作
AI小说写作助手,一站式润色、改写、扩写
蛙蛙写作—国内先进的AI写作平台,涵盖小说、学术、社交媒体等多场景。提供续写、改写、润色等功能,助力创作者高效优化写作流程。界面简洁,功能全面,适合各类写作者提升内容品质和工作效率。
问小白
全能AI智能助手,随时解答生活与工作的多样问题
问小白,由元石科技研发的AI智能助手,快速准确地解答各种生活和工作问题,包括但不限于搜索、规划和社交互动,帮助用户在日常生活中提高效率,轻松管理个人事务。
Transly
实时语音翻译/同声传译工具
Transly是一个多场景的AI大语言模型驱动的同声传译、专业翻译助手,它拥有超精准的音频识别翻译能力,几乎零延迟的使用体验和支持多国语言可以让你带它走遍全球,无论你是留学生、商务人士、韩剧美剧爱好者,还是出国游玩、多国会议、跨国追星等等,都可以满足你所有需要同传的场景需求,线上线下通用,扫除语言障碍,让全世界的语言交流不再有国界。
讯飞智文
一键生成PPT和Word,让学习生活更轻松
讯飞智文是一个利用 AI 技术的项目,能够帮助用户生成 PPT 以及各类文档。无��论是商业领域的市场分析报告、年度目标制定,还是学生群体的职业生涯规划、实习避坑指南,亦或是活动策划、旅游攻略等内容,它都能提供支持,帮助用户精准表达,轻松呈现各种信息。
讯飞星火
深度推理能力全新升级,全面对标OpenAI o1
科大讯飞的星火大模型,支持语言理解、知识问答和文本创作等多功能,适用于多种文件和业务场景,提升办公和日常生活的效率。讯飞星火是一个提供丰富智能服务的平台,涵盖科技资讯、图像创作、写作辅助、编程解答、科研文献解读等功能,能为不同需求的用户提供便捷高效的帮助,助力用户轻松获取信息、解决问题,满足多样化使用场景。
Spark-TTS
一种基于大语言模型的高效单流解耦语音令牌文本到语音合成模型
Spark-TTS 是一个基于 PyTorch 的开源文本到语音合成项目,由多个知名机构联合参与。该项目提供了高效的 LLM(大语言模型)驱动的语音合成方案,支持语音克隆和语音创建功能,可通过命令行界面(CLI)和 Web UI 两种方式使用。用户可以根据需求调整语音的性别、音高、速度等参数,生成高质量的语音。该项目适用于多种场景,如有声读物制作、智能语音助手开发等。
咔片PPT
AI助力,做PPT更简单!
咔片是一款轻量化在线演示设计工具,借助 AI 技术,实现从内容生成到智能设计的一站式 PPT 制作服务。支持多种文档格式导入生成 PPT,提供海量模板、智能美化、素材替换等功能,适用于销售、教师、学生等各类人群,能高效制作出高品质 PPT,满足不同场景演示需求。
讯飞绘文
选题、配图、成文,一站式创作,让内容运营更高效
讯飞绘文,一个AI集成平台,支持写作、选题、配图、排版和发布。高效生成适用于各类媒体的定制内容,加速品牌传播,提升内容营销效果。
材料星
专业的AI公文写作平台,公文写作神器
AI 材料星,专业的 AI 公文写作辅助平台,为体制内工作人员提供高效的公文写作解决方案。拥有海量公文文库、9 大核心 AI 功能,支持 30 + 文稿类型生成,助力快速完成领导讲话、工作总结、述职报告等材料,提升办公效率,是体制打工人的得力写作神器。
推荐工具精选
AI云服务特惠
懂AI专属折扣关注微信公众号
最新AI工具、AI资讯
独家AI资源、AI项目落地
微信扫一扫关注公众号