關于HBSQLI

HBSQLI是一款功能強大的自動化SQL注入漏洞測試工具,該工具可以幫助廣大研究人員以自動化的形式測試基于Header的SQL盲注漏洞。

HBSQLI本質上是一個命令行工具,旨在針對Web應用程序執行基于Header的SQL盲注漏洞掃描與檢測。該工具能夠以自動化的形式執行漏洞掃描,可以有效地幫助廣大安全研究人員、滲透測試人員和Bug Hunter輕松測試目標Web應用程序的安全性。

該工具旨在提升Web應用程序的安全性而構建,請不要在未經授權的情況下使用該工具對目標進行測試。

工具安裝

由于該工具基于Python 3開發,因此我們首先需要在本地設備上安裝并配置好Python 3環境。接下來,廣大研究人員可以直接使用下列命令將該項目源碼克隆至本地:

$ git clone https://github.com/SAPT01/HBSQLI.git

然后切換到項目目錄中,使用pip3命令和項目提供的requirements.txt安裝該工具所需的其他依賴組件:

$ cd HBSQLI

$ pip3 install -r requirements.txt

工具使用幫助

usage: hbsqli.py [-h] [-l LIST] [-u URL] -p PAYLOADS -H HEADERS [-v]

 

options:

  -h, --help            顯示工具幫助信息和退出

  -l LIST, --list LIST     以輸入參數提供URL地址列表文件

  -u URL, --url URL      以輸入參數提供單個目標URL地址

  -p PAYLOADS, --payloads PAYLOADS

                        包含SQL盲注Payload的Payload文件,Payload間隔需設置為30秒

  -H HEADERS, --headers HEADERS

                        包含HTTP Header的Header文件

  -v, --verbose          以verbose模式運行

工具運行模式

該工具提供了兩種運行模式,即verbose和non-verbose。verbose模式允許我們查看所有的掃描進程信息,并顯示每一個測試的完成狀態。non-verbose模式則只會將存在漏洞的節點信息打印出來。使用-v參數即可開啟verbose模式。

工具使用樣例

掃描單個URL地址

$ python3 hbsqli.py -u "https://target.com" -p payloads.txt -H headers.txt -v

掃描URL地址列表

$ python3 hbsqli.py -l urls.txt -p payloads.txt -H headers.txt -v

注意事項

1、你可以選擇項目提供的Payload文件,或者使用自定義的Payload文件,請記住Payload文件中設置的每一個Payload間隔應該設置為30秒;
2、你可以選擇項目提供的Header文件,或者根據自己的實際需求使用更多的自定義Header文件;

工具使用演示

項目地址

HBSQLI:https://github.com/SAPT01/HBSQLI

HBSQLI
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接