如何使用HBSQLI自动测试基于Header的SQL盲注
2023-12-14 19:38:56 Author: FreeBuf(查看原文) 阅读量:8 收藏

 关于HBSQLI 

HBSQLI是一款功能强大的自动化SQL注入漏洞测试工具,该工具可以帮助广大研究人员以自动化的形式测试基于Header的SQL盲注漏洞。

HBSQLI本质上是一个命令行工具,旨在针对Web应用程序执行基于Header的SQL盲注漏洞扫描与检测。该工具能够以自动化的形式执行漏洞扫描,可以有效地帮助广大安全研究人员、渗透测试人员和Bug Hunter轻松测试目标Web应用程序的安全性。

该工具旨在提升Web应用程序的安全性而构建,请不要在未经授权的情况下使用该工具对目标进行测试。

 工具安装 

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

$ git clone https://github.com/SAPT01/HBSQLI.git

然后切换到项目目录中,使用pip3命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:

$ cd HBSQLI
$ pip3 install -r requirements.txt

 工具使用帮助 

usage: hbsqli.py [-h] [-l LIST] [-u URL] -p PAYLOADS -H HEADERS [-v]

options:
-h, --help 显示工具帮助信息和退出
-l LIST, --list LIST 以输入参数提供URL地址列表文件
-u URL, --url URL 以输入参数提供单个目标URL地址
-p PAYLOADS, --payloads PAYLOADS
包含SQL盲注Payload的Payload文件,Payload间隔需设置为30秒
-H HEADERS, --headers HEADERS
包含HTTP Header的Header文件
-v, --verbose 以verbose模式运行

(向右滑动,查看更多)

 工具运行模式 

该工具提供了两种运行模式,即verbose和non-verbose。verbose模式允许我们查看所有的扫描进程信息,并显示每一个测试的完成状态。non-verbose模式则只会将存在漏洞的节点信息打印出来。使用-v参数即可开启verbose模式。

 工具使用样例 

扫描单个URL地址:

$ python3 hbsqli.py -u "https://target.com" -p payloads.txt -H headers.txt -v

(向右滑动,查看更多)

扫描URL地址列表:

$ python3 hbsqli.py -l urls.txt -p payloads.txt -H headers.txt -v

(向右滑动,查看更多)

 注意事项 

1、你可以选择项目提供的Payload文件,或者使用自定义的Payload文件,请记住Payload文件中设置的每一个Payload间隔应该设置为30秒;

2、你可以选择项目提供的Header文件,或者根据自己的实际需求使用更多的自定义Header文件;

 项目地址 

HBSQLI

https://github.com/SAPT01/HBSQLI

FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复“加群”,申请加入群聊

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651250881&idx=4&sn=1cf2f99b21a814da2f5ee76d4777e75e&chksm=bcb5e317b93ec38c6ca2ef21af1964a96c7cf61cb5ce60d1bb2b8d16ae769f9aae78ee933ace&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh