/xia_sql

(JDK17)xia SQL (瞎注) burp 插件 ,在每个参数后面填加一个单引号,两个单引号,一个简单的判断注入小插件。

Primary LanguageJava

xia SQL (瞎注)

本插件仅只插入单引号,没有其他盲注啥的,且返回的结果需要人工介入去判断是否存在注入,如果需要所有注入都测试,请把burp的流量转发到xray。

注意

  • 默认使用jdk1.8编译
  • 在最新版的burp2.x中jdk为1x,会导致插件不可用,请下载jdk16版本试试,若还不行,请自行下载源码使用当前电脑的jdk1x进行编译,谢谢。
  • burp 插件。
  • 在每个参数后面填加一个单引号,两个单引号,如果值为纯数字则多加一个-1、-0。
  • 由于不会java,且又是用java写的,代码太烂,勿喷。`
  • 感谢名单:Moonlit、阿猫阿狗、Shincehor、Xm17

插件使用描述

  • 返回 ✔️ 代表两个单引号的长度和一个单引号的长度不一致,表明可能存在注入
  • 返回 ✔️ ==> ? 代表着 原始包的长度和两个单引号的长度相同且和一个单引号的长度不同,表明很可能是注入
  • 返回 Err 代表响应包中含有数据库报错信息。
  • 返回 diy payload 代表自定义的payload。
  • 返回 time > 3 代表访问网站的时间大于3秒,可利用该功能配合自定义payload功能测试时间盲注
  • 支持json格式,V1.9以上版本已支持json多层嵌套
  • 支持参数的值是纯数字则-1,-0
  • 支持cookie测试
  • 支持右键发送到插件扫描(哪怕之前扫描过的,仍然可以通过右键发送再次扫描)备注:右键发送一定需要有响应包,不然发不过去,这样才能对比和原数据包的长度。
  • 支持自定义payload
  • 支持自定义payload中的参数值置空
  • 监控Proxy流量。
  • 监控Repeater流量。
  • 同个数据包只扫描一次,算法:MD5(不带参数的url+参数名+POST/GET)
  • 支持白名单功能,若多个域名请用,隔开

插件截图

image

2023-3-6

xia SQL 3.2

  • 优化左上的两个窗口可以在内部可伸缩
  • 启动自定义payload后,取消内置payload。

image

2023-2-10

xia SQL 3.1

  • 更新自定义数据库报错关键字。
  • 更新日志模式,里面输出的是哪条数据库报错关键字触发的。

image

image

2023-2-8

xia SQL 3.0

  • 新增匹配响应包是否有包含数据库报错关键字,如有将显示Err
  • 优化请求包的body内容为二进制时,过滤掉。

image

image

2022-11-19

xia SQL 2.9

  • 支持多个域名白名单
  • 优化ui

image

2022-10-17

xia SQL 2.8

  • 新增自定义payload保存到本地,每次打开burp将会自动获取上次保存的payload。

image

2022-8-7

xia SQL 2.7

  • 修复2.6版本处理json格式致命错误
  • 优化json嵌套格式处理,基本上都能正确处理,除个别极端情况
  • 新增响应码列
  • 新增白名单功能。

image

2022-6-22

xia SQL 2.6

  • 新增变化中具体长度变化多少的值(如果变化的值小于等于4基本上是误报)
  • 修复已知bug

image

2022-6-6

xia SQL 2.5

  • 修复burp2.x json嵌套bug

2022-5-27

xia SQL 2.4

  • 新增支持对cookie测试

image

2022-5-24

xia SQL 2.3

  • 新增 状态一列,run…… 表示正在发送相关payload,end! 表示已经扫描完成,end! ✔️表示扫描完成且结果可能存在注入。

image

2022-5-20

xia SQL 2.2

  • 优化proxy模式有时流量不过来问题。
  • 优化Proxy、Repeater 模式下,静态资源不处理。后缀:jpg、png、gif、css、js、pdf、mp3、mp4、avi(右键发送不影响)

image

2022-5-12

xia SQL 2.1

  • 新增 自定义payload中参数值置空

image

2022-4-25

xia SQL 2.0

  • ui界面优化
  • 添加自定义payload功能
  • 自定义payload访问网站时间大于3秒,将显示 time > 3。

image

image

2022-4-11

xia SQL 1.9

  • 支持json多层嵌套
  • 新增列:用时,用于后期更新自定义payload时,可以查看到每个数据包所用的时间。 image

2022-4-8

xia SQL 1.8

  • 新增右键发送到插件扫描
  • 优化 监控Repeater 模式下数据包返回速度。 image

2022-4-2

xia SQL 1.7

  • 修复在burp2.x版本下poxry模式展示内容bug image

2022-3-31

xia SQL 1.6

  • 更新相同数据包只扫描一次的算法,算法:MD5(不带参数的url+参数名+POST/GET) image

2022-3-29

xia SQL 1.5

  • 取消默认选中“监控Repeater”,增加默认选中“值是数字则进行-1、-0”。
  • 变更 监控Proxy模式 为被动模式,提升交互体验感。
  • 新增相同数据包只扫描一次。算法:MD5(url+参数名),如果是post包,值变化也不会重新扫描,需要参数名变化才会再次扫描。

2022-2-13

xia SQL 1.4

  • 更新了 一个选项,如果值是纯数字的话就进行-1,-0 image

2022-2-11

xia SQL 1.3

  • 更新了 原始包的长度和两个单引号的长度相同且和一个单引号的长度不同就返回 ✔️ ==> ?

image

2022-2-11

xia SQL 1.2

  • 更新支持json格式

image

2022-2-10

xia SQL 1.1

  • 更新了序列号
  • 更新了有变化 打勾
  • 更新了如果那个数据包没有参数,那就忽略。这样开 proxy 模式 就不会一堆包了。

image

图片展示

image

image

image