DetSql是基于 BurpSuite Java 插件 API 开发的 SQL 注入探测插件,主要作用为快速从 http 流量中筛选出可能存在 SQL 注入的请求,在尽可能减少拦截的情况下提高 SQL 注入测试效率。
DetSql采用 Montoya API 进行开发,BurpSuite 版本需满足(>=2023.12.1)。
为方便叙述使用 value 表示请求的一个参数值,respbody 表示该请求的响应体,value->respbody,表示参数值为 value 时发送请求得到响应体 respbody,以下判断依赖 MySQL,sqlserver,oracle,postgresql 四种数据库某版本测试结果。
1.报错类型判断
2.数字类型判断
3.order 类型注入
4.字符类型注入
5.附加判断
插件装载: Extensions - Installed - Add - Select File - Next
左上显示原始流量,一共 7 列,从左至右依次为序号,从 0 开始;请求来源,proxy 或 repeater,为减少请求,其他模块来源点的请求将忽略;域名,如https://www.baidu.com;请求方式,get或post;URL路径,该路径不包含参数;响应体长度;漏洞提示,如果漏洞提示栏显示空白表示没有漏洞,否则将显示漏洞类型,如errsql,stringsql,多个存在多个类型使用-拼接显示。右上显示为测试请求流量,一共7列,从左至右依次为参数名、poc、响应体长度、状态码、相似度,使用百分比表示、请求时间、漏洞提示,此处如果测试后不存在漏洞将不显示该请求,只显示测试后存在问题的请求。左下和右下分别显示请求与响应,点击上述的原始请求或测试请求将在此处显示对应的请求和响应。
在Logger模块中查看扫描流量,选择Extensions类型如下
例子
报错类型页面
order类型页面
数字类型页面
字符类型页面(包含多种类型)
双引号问题
由于双引号闭合的情况出现极少,此处仍在报错类型中保留了双引号的原因,经本人测试出现过双引号报错的情况,因此仍在报错类型保留了双引号,如想自行设置报错payload可在配置面板自行设置。
白名单为测试的请求域名,如 baidu.com,192.168.1.2,多个域名使用竖线分隔,不能填 C 段,不填表示测试全部;黑名单为禁止测试的域名;禁止后缀为一些静态文件的后缀,默认设置了常见的静态后缀;报错 poc 可自行设置报错类型的测试 poc,当设置了报错 poc 后内置的报错 poc 将不再使用,上述四个配置内容设置后需点击确认后生效。四个复选框,开关点击勾选后启动测试,测试 cookie 勾选后可测试 cookie 参数,只测报错勾选后不再测试除报错类型外其他类型的注入,设置接受 repeater 复选框主要是为了保持代码尽可能简洁,也不再右键中发送功能,接受 repeater 勾选后可监听测试来自 repeater 模块的请求,并且合并了请求去重功能的考虑,只对 proxy 来源请求的去重,请求去重算法为SM3,来自 repeater 模块的请求将不考虑该请求的重复性,是否测试过都将测试。这里可对来自proxy模块的请求进行手动停止,右键中设置了一个结束该请求测试的功能,如果请求已进入测试列表想要停止测试该请求,可右键点击end this data选项停止该请求,第一种情况为该请求正在等待其他线程的释放此时,点击end this data后run状态变为手动停止,第二种情况为该请求已在测试,点击end this data后也会停止测试同时run状态栏将不显示任何字符;同时对响应体body的长度做了长度限制,长度超过50000的请求不再测试,长度在10000到50000之间测试速度较慢,此处设置一个较低的线程但基本可满足手动测试的需求。最后添加了可将上述配置保存在文件的功能,可保存或从文件中载入配置。
手动停止页面
由于 burpsuite 自带的 base64 编码,URL 编码解码遇到中文会出现乱码,因此添加了基于 UTF-8 的可编解码中文的 base64,URL 编码,如果 base64 解码后为 json 字符串可点击 JSON 格式化按钮对其格式化,同时为便于查看中文还增加了 Unicode 解码。
DetSql目的用于辅助手动测试,由于设置线程较小不利于大量请求时的被动扫描,建议使用时在白名单处设置测试域名或IP,如www.baidu.com,以此减少不必要的无效扫描,填baidu.com即代表baidu.com及其所有子域,多个可表示为baidu.com|qq.com,若出现卡顿建议按此配置,如下 正常很少会出现卡顿情况,同时建议使用最新版进行测试,经本人测试,未设置白名单将请求扫描数量快速加到170个左右未发现卡顿、闪退等异常,可正常运行,如下
有任何问题、意见建议可随时提问,或者与我联系,email:1224165231@qq.com