Burp Suite(버프스위트) 메뉴 Extender + SQLMAP.exe 설치

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 

테스트 사이트

■ http://testphp.vulnweb.com/

이번에는 저번 포스팅에 이어 버프스위트에 SQLMAP.exe 연동 방법에 대해서 알아보겠습니다.

SQLMAP 다운로드

- https://sourceforge.net/projects/sqlmap/files/sqlmap/0.6.4/sqlmap-0.6.4_exe.zip/download

플러그인 파일 다운로드

- https://code.google.com/archive/p/gason/downloads

https://sourceforge.net/projects/sqlmap/files/sqlmap 이렇게 치고 들어 가시면 아래와 같은 화면이 나옵니다. 여기서 버전에 맞게 받으면 되지만 0.8 버전은 에러가나서 0.6.4 버전에서  sqlmap-0.6.4_exe.zip 파일을 받아 진행하도록 하겠습니다. 

■ Burp Suite(버프스위트) 메뉴 Extender + SQLMAP.py 설치

나머지 내용은 앞에 포스팅한 내용과 일치하므로 참고해주시기 바랍니다.

send to sqlmap을 선택해 줍니다. 저는 테스트사이트에서 spider this host를 돌렸습니다. 해당내용은 버프스위트 SPIDER 을 참고 부탁바랍니다.

그럼 다음과 같이 SQLMap 플로그인을 설정할 수 있는 화면이 나타나고, 여기서 Bin Path 항목에 조금전에 받은 SQLMap 실행파일인 sqlmap.exe 파일을 설정 해주신후 Run 버튼을 눌러 줍니다.

Run 버튼을 누르면 새로운 탭이 생기면서 진단을 진행하는 상황을 볼 수 있습니다. 하지만 이버전은 옵션을 설정하면 에러가 뜨고, SQL Injection 과정에서 패턴이 보이질 않습니다.

버프스위트에서 Extender 기능은 이렇게 사용한다고 알아두시고, SQLMAP 연동 방법은 동일하므로 다른파일을 받아 테스트를 진행해보셔도 될것 같습니다.