smxiazi / xia_sql Goto Github PK
View Code? Open in Web Editor NEWxia SQL (瞎注) burp 插件 ,在每个参数后面填加一个单引号,两个单引号,一个简单的判断注入小插件。
xia SQL (瞎注) burp 插件 ,在每个参数后面填加一个单引号,两个单引号,一个简单的判断注入小插件。
另外贡献点payload:https://www.t00ls.com/thread-65980-1-1.html
原body
{
"info": {
"Refund": "string",
"Pay": "string",
"DetailInfo": [
{
"Id": "string",
"Refund": "1111",
"Poundage": "1"
}
]
}
}
扫描时会变为
{"Refund":"string","Pay":"string","Refund":"111","Poundage":"1","Id":"string"}
原body
{
"info": {
"Ship": "string",
"Port": "string"
}
}
扫描时会变为
{
"Ship": "string",
"Port": "string"
}
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
有时候oralce出了报错代码 但是因为长度一致 并没有识别到
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
看起来有点太多了,把可能存在的注入的,再单独加一个显示框,比较明了
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
可以考虑引号加个hex、unicode编码绕过,如果大佬比较忙,麻烦发下源码,我可以代劳,会写点java代码
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
提交的数据包为 :{"serviceType":"aaa","data":{"Status":"0,1"},"clientTimeout":123}
时插入的payload会错乱。
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
Originally posted by @daomeixiong1048 in #29 (comment)
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
可以添加对cookie ua等测试吗
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
java.lang.ClassNotFoundException: burp.BurpExtender
at java.base/java.net.URLClassLoader.findClass(URLClassLoader.java:445)
at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:587)
at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:520)
at java.base/java.lang.Class.forName0(Native Method)
at java.base/java.lang.Class.forName(Class.java:467)
at burp.rw.a(Unknown Source)
at burp.rw.(Unknown Source)
at burp.fdd.a(Unknown Source)
at burp.g03.lambda$panelLoaded$0(Unknown Source)
at java.base/java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:539)
at java.base/java.util.concurrent.FutureTask.run(FutureTask.java:264)
at java.base/java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1136)
at java.base/java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:635)
at java.base/java.lang.Thread.run(Thread.java:833)
为啥安装不上呢
如题
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
列表里只能看到返回包长度和用时啥的,不能快速看到返回包的状态码,需要一个一个点击返回包长度有变化的包看。。。
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
嵌套的json格式{"bean":{"aaaa":"","ccc":""},"ddd":"2022-02-14"}被插件处理后变成了
{"aaa":"","ccc":"","ddd":"2022-02-14''"}, 就无法检测响应变化
能不能只显示打勾的数据包,其他没有打勾的其实不太需要哈
A declarative, efficient, and flexible JavaScript library for building user interfaces.
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
An Open Source Machine Learning Framework for Everyone
The Web framework for perfectionists with deadlines.
A PHP framework for web artisans
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
Some thing interesting about web. New door for the world.
A server is a program made to process requests and deliver data to clients.
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
Some thing interesting about visualization, use data art
Some thing interesting about game, make everyone happy.
We are working to build community through open source technology. NB: members must have two-factor auth.
Open source projects and samples from Microsoft.
Google ❤️ Open Source for everyone.
Alibaba Open Source for everyone
Data-Driven Documents codes.
China tencent open source team.