一款集成sqlmap到burpsuite中的插件(整合兩大神器)，在網(wǎng)上尋找類似的插件，發(fā)現(xiàn)了一款：https://code.google.com/p/gason/，不過對windows支持并不好，于是自己動手開發(fā)一款。

配置：

首先安裝sqlmap，傳送門：http://sqlmap.org/

將sqlmap.py加入到path中(在cmd中輸入sqlmap.py不會報(bào)找不到文件)

下載依賴的jar包： commons-io-2.4.jar，放置到burpsuite java 插件的classpath下，burpsuite中配置路徑為：extender-->options-->Java Environment

編譯此項(xiàng)目為單獨(dú)的一個jar文件，添加到burpsuite的java插件中，配置路徑為：extender-->extentions-->add

之后你將會看到在主頁面中會新增一個tab，名字叫做Sqlmap

本插件實(shí)現(xiàn)原理：

將目標(biāo)請求的數(shù)據(jù)存放到臨時(shí)文件中，然后調(diào)用"sqlmap.py -r $file"來啟動對請求的sql注入檢測 在Sqlmap tab中，你可以配置sqlmap除 -r外的其他參數(shù)，比如：

加入配置中寫："--level 3",真實(shí)執(zhí)行時(shí)是：sqlmap.py -r $file --level 3

回到burpsuite主頁面，在任何請求連接上右鍵，會看到新增"send to Sqlmap"，點(diǎn)擊后會開啟cmd窗口，針對此請求進(jìn)行sql注入檢測

注意：

本插件在windows下開發(fā)并使用，其他系統(tǒng)需要自行做一些調(diào)整

關(guān)于本插件有任何問題，歡迎聯(lián)系我：latershowwwc@gmail.com

例子：

下載：

github:https://github.com/difcareer/sqlmap4burp