BurpSuite日志分析导入SqlMap进行批量扫描-BurpLogFilter

Posted 2020-08-08

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了BurpSuite日志分析导入SqlMap进行批量扫描-BurpLogFilter相关的知识，希望对你有一定的参考价值。

https://github.com/tony1016/BurpLogFilter 一个python3写的，用于过滤BurpSuite日志的小程序

WHY？

为什么要写这个程序呢？强大的SqlMap支持使用BurpSuite的日志进行批量分析，但是BurpSuite的日志记录了所有走代理的流量，包括静态资源啊，重复的提交啊，这些都会影响SqlMap的分析效率。于是打算写一个小程序，可以做到：

可以按照域名过滤请求
可以自动过滤静态资源请求
可以自动按照模式过滤URL，即相同URL和参数的请求，只会留其一（参数值对于SqlMap没有什么作用）
USAGE

1.勾选BurpSuite输出日志(check the logging option)

2.使用burplogfilter.py过滤日志(use burplogfilter.py to filter log file)

Usage: python3 burplogfilter.py [options]

Options:
  -h                                  Show this showHelp
  -f filepath                         The BurpSuite log to analyze
  --host keyword, --host=keyword      Host name filter
  -v                                  Show debug message

Examples:
  python3 burplogfilter.py -f /tmp/burp.log --host=‘google.com‘ > burp-proxy.log

3.使用SqlMap批量分析日志(Use SqlMap to batch analyze log)

sqlmap -l burp-proxy.log --batch -smart

4.查看分析结果(Check result)

linux ：ls /usr/local/Cellar/sqlmap/ 的output目录下
windows： sqlmap下

接下做一个渗透测试并发框架的安全研究，写出接入自动扫描脚本 ,啊啊啊

以上是关于BurpSuite日志分析导入SqlMap进行批量扫描-BurpLogFilter的主要内容，如果未能解决你的问题，请参考以下文章

sqlmap批量扫描burpsuite请求日志记录

sqlmap批量扫描burpsuite拦截的日志记录

Burpsuite+sqlmap批量扫描sql漏洞

burpsuite扩展集成sqlmap插件

sqlmap和burpsuite绕过csrf token进行SQL注入检测

阅读sqlmap源代码，编写burpsuite插件--sqlmapapi

BurpSuite日志分析导入SqlMap进行批量扫描-BurpLogFilter

WHY？

USAGE

1.勾选BurpSuite输出日志(check the logging option)

2.使用burplogfilter.py过滤日志(use burplogfilter.py to filter log file)

3.使用SqlMap批量分析日志(Use SqlMap to batch analyze log)

4.查看分析结果(Check result)

接下做一个渗透测试并发框架的安全研究，写出接入自动扫描脚本 ,啊啊啊