如何在渗透测试中有效地结合 Burp Suite 和 Sqlmap

环境设置：

确保你的环境中安装了以下软件：

• Burp Suite 2022
• Sqlmap
• Jython环境

插件安装步骤：

1. 启动Burp Suite，打开Extender，选择BApp Store子选项卡。
2. 在BApp Store中浏览可用的插件列表，找到并选择sqlipy插件。
3. 如果是首次安装，可能会看到install按钮灰色不可点击，这时需要先配置Jython环境。因为Sqlmap是使用Python编写的，而Burp需要使用Java，因此需要Jython来进行兼容。
4. 下载并安装Jython。
5. 在Option选项卡中配置Jython环境。
6. 返回BApp Store并安装sqlipy插件，然后在插件选项中启用它。

使用SQLiPy：

1. 首先，对可能存在SQL注入的链接进行抓包。
2. 将抓包数据发送到SQLiPy中。
3. 在SQLiPy选项卡中配置Sqlmap API，你可以使用以下命令启动Sqlmap API： python sqlmapapi.py -s -H 127.0.0.1 -p 9090。
4. 配置Sqlmap扫描器，选择要获取的数据库或表名。
5. 点击”Start Scan”按钮开始扫描。
6. 切换到Sqlmap日志选项卡，点击”get”按钮查看日志。