xia SQL (瞎注)

本插件仅只插入单引号,没有其他盲注啥的,而且结果返回的结果需要人工介入去判断是否存在注入,如果需要所有注入都测试,请把burp的流量转发到xray。

  • burp 插件。
  • 在每个参数后面填加一个单引号,两个单引号,如果值为纯数字则多加一个-1、-0。
  • 由于不会java,且又是用java写的,代码太烂,就不开源了。(本来是不打算开源的,但是可能还是有人需要自定义一下,那就开源吧)

插件使用描述

  • 返回 ✔️ 代表两个单引号的长度和一个单引号的长度不一致,表明可能存在注入
  • 返回 ✔️ ==> ? 代表着 原始包的长度和两个单引号的长度相同且和一个单引号的长度不同,表明很可能是注入

2022-2-13

xia SQL 1.4

  • 更新了 一个选项,如果值是纯数字的话就进行-1,-0

2022-2-11

xia SQL 1.3

  • 更新了 原始包的长度和两个单引号的长度相同且和一个单引号的长度不同就返回 ✔️ ==> ?

2022-2-11

xia SQL 1.2

  • 更新支持json格式

2022-2-10

xia SQL 1.1

  • 更新了序列号
  • 更新了有变化 打勾
  • 更新了如果那个数据包没有参数,那就忽略。这样开 proxy 模式 就不会一堆包了。

图片展示