xia SQL (瞎注)

本插件僅只插入單引號，沒有其他盲注啥的，且返回的結果需要人工介入去判斷是否存在注入，如果需要所有注入都測試，請把burp的流量轉發到xray。

注意

• 默認使用jdk1.8編譯
• 在最新版的burp2.x中jdk為1x,會導致插件不可用,請下載jdk16版本試試,若還不行，請自行下載源碼使用當前電腦的jdk1x進行編譯,謝謝。

• burp 插件。
• 在每個參數后面填加一個單引號，兩個單引號,如果值為純數字則多加一個-1、-0。
• 由于不會java，且又是用java寫的，代碼太爛，勿噴。`
• 感謝名單：Moonlit、阿貓阿狗、Shincehor、Xm17

插件使用描述

• 返回 ?? 代表兩個單引號的長度和一個單引號的長度不一致，表明可能存在注入。
• 返回 ?? ==> ？ 代表著 原始包的長度和兩個單引號的長度相同且和一個單引號的長度不同，表明很可能是注入。
• 返回 diy payload 代表自定義的payload。
• 返回 time > 3 代表訪問網站的時間大于3秒，可利用該功能配合自定義payload功能測試時間盲注。
• 支持json格式，V1.9以上版本已支持json多層嵌套。
• 支持參數的值是純數字則-1，-0。
• 支持cookie測試
• 支持右鍵發送到插件掃描（哪怕之前掃描過的，仍然可以通過右鍵發送再次掃描）備注：右鍵發送一定需要有響應包，不然發不過去，這樣才能對比和原數據包的長度。
• 支持自定義payload。
• 支持自定義payload中的參數值置空。
• 監控Proxy流量。
• 監控Repeater流量。
• 同個數據包只掃描一次，算法：MD5(不帶參數的url+參數名+POST/GET)。

2022-6-22

xia SQL 2.6

• 新增變化中具體長度變化多少的值（如果變化的值小于等于4基本上是誤報）
• 修復已知bug

2022-6-6

xia SQL 2.5

• 修復burp2.x json嵌套bug

2022-5-27

xia SQL 2.4

• 新增支持對cookie測試

2022-5-24

xia SQL 2.3

• 新增 狀態一列，run…… 表示正在發送相關payload，end! 表示已經掃描完成，end! ??表示掃描完成且結果可能存在注入。

2022-5-20

xia SQL 2.2

• 優化proxy模式有時流量不過來問題。
• 優化Proxy、Repeater 模式下，靜態資源不處理。后綴：jpg、png、gif、css、js、pdf、mp3、mp4、avi(右鍵發送不影響)

2022-5-12

xia SQL 2.1

• 新增 自定義payload中參數值置空

2022-4-25

xia SQL 2.0

• ui界面優化
• 添加自定義payload功能
• 自定義payload訪問網站時間大于3秒，將顯示 time > 3。

2022-4-11

xia SQL 1.9

• 支持json多層嵌套
• 新增列：用時，用于后期更新自定義payload時，可以查看到每個數據包所用的時間。 
• 

2022-4-8

xia SQL 1.8

• 新增右鍵發送到插件掃描
• 優化 監控Repeater 模式下數據包返回速度。 

2022-4-2

xia SQL 1.7

• 修復在burp2.x版本下poxry模式展示內容bug 
• 

2022-3-31

xia SQL 1.6

• 更新相同數據包只掃描一次的算法，算法：MD5(不帶參數的url+參數名+POST/GET) 
• 

2022-3-29

xia SQL 1.5

• 取消默認選中“監控Repeater”，增加默認選中“值是數字則進行-1、-0”。
• 變更 監控Proxy模式 為被動模式，提升交互體驗感。
• 新增相同數據包只掃描一次。算法：MD5(url+參數名)，如果是post包，值變化也不會重新掃描，需要參數名變化才會再次掃描。

2022-2-13

xia SQL 1.4

• 更新了 一個選項，如果值是純數字的話就進行-1，-0 
• 

2022-2-11

xia SQL 1.3

• 更新了 原始包的長度和兩個單引號的長度相同且和一個單引號的長度不同就返回 
• ??
•  ==> ？
• 

2022-2-11

xia SQL 1.2

• 更新支持json格式
• 

2022-2-10

xia SQL 1.1

• 更新了序列號
• 更新了有變化 打勾
• 更新了如果那個數據包沒有參數，那就忽略。這樣開 proxy 模式 就不會一堆包了。
• 

圖片展示