Burpsuite与sqlmap结合进行sql注入渗透测试

参考文章 http://www.freebuf.com/sectool/2311.html 进行了使用了解，以下是实践内容。

SQL注入漏洞测试网站：http://testasp.vulnweb.com/

1.这里选择目标测试网址：http://testasp.vulnweb.com/Login.asp

2.分别配置burpsuite的代理和火狐浏览器的代理服务器：

设置burp的proxy--Intercept为Intercept on即截取数据模式，然后在漏洞测试网站的登录页面填入用户名和密码均为：test，

点击login后，便可看到burp中截取的请求：

将该请求内容全选复制保存为search-test.txt ，存放至sqlmap目录下。

运行sqlmap，输入命令：参数 -r 是让sqlmap加载我们的post请求rsearch-test.txt，而-p 大家应该比较熟悉，指定注入用的参数。

后可以发现，sqlmap能够解析出txt中的HTTP请求，并进行注入测试：

最终测试结果：

sqlmap获取的数据会以日志文件的形式保存在本地，默认路径是C\Users\用户\.sqlmap\output\被扫网址域名，如下所示：