SQL注入技术实践与：Burp Suite与sqlmap应用指南.pdfVIP

1如何借助BurpSuite批量猜解数据库长度？

参

1）暂时停止BurpSuite，使用浏览器页面，并进行普通SQL注入猜解数据库长

度。

01.andlength(database())=n

2）启用BurpSuite功能，再进行注入操作，可以看到的信息。

3）使用Intruder模块，在“positions”选项卡中设置“n”为变量。

4）在“payloads”选项卡中设置“n”的取值范围是1~20，最后单击“Startattack”开始攻

击。

5）在弹出的“Intruderattack”框中，观察“Length”列数据，得知数据库长度是

“4”。

2简述sqlmap的作用

参

sqlmap是一个开源渗透测试工具，可以实现自动SQL注入。

完全支持MySQL、Oracle、SQLServer、DB2等多种数据库管理系统。

完全支持布尔型盲注、时间型盲注、基于错误信息的注入、联合查询注入和堆