BurpSuite插件XIA_SQL二开推荐

主要功能

核心检测功能

• 多种SQL注入检测
  
  ：支持报错注入、时间盲注、布尔盲注等多种检测方式
• 智能payload管理
  
  ：内置多种payload组，支持自定义payload配置
• 丰富的默认字典
  
  ：包含17种常用SQL注入payload，涵盖时间盲注、布尔盲注、报错注入等
• 实时响应分析
  
  ：自动分析响应长度、时间、状态码等关键指标
• 全面的报错信息识别
  
  ：内置33种数据库和框架的错误信息模式，支持MySQL、Oracle、PostgreSQL、SQL Server、SQLite等
• 增强JSON处理
  
  ：使用Burp Suite内置API处理复杂嵌套JSON结构，支持任意深度的对象、数组和混合数据类型

高级配置选项

• 参数过滤系统
  
  ：支持白名单/黑名单模式，精确控制测试范围
• URL黑名单过滤
  
  ：可配置黑名单URL，跳过不需要测试的路径
• 静态文件过滤
  
  ：自动跳过图片、样式、脚本等静态资源文件（支持30+种文件类型）
• 响应时间阈值
  
  ：可自定义时间盲注检测阈值
• 长度差异阈值
  
  ：可配置响应长度差异检测敏感度
• HTTP方法过滤
  
  ：仅对GET/POST请求进行检测，提高效率
• 自定义延时发包
  
  ：支持固定延时和随机延时，可配置延时区间（默认1-5秒）
• 自定义追加参数
  
  ：支持为请求自动追加指定参数，兼容URL、POST、JSON等格式
• 智能参数测试控制
  
  ：追加参数可选择是否参与payload测试，提供灵活的测试策略

V3.0.4 新增亮点

• JSON参数追加增强
  
  ：改进JSON格式检测逻辑，使用双重检测机制确保参数正确添加到请求体
• 自定义延时发包
  
  ：支持三种延时模式，可配置固定或随机延时，避免WAF检测
• 智能追加参数
  
  ：支持URL、POST、JSON三种格式的参数自动追加，可选择是否参与payload测试

用户界面特性

• 双面板设计
  
  ：左侧显示扫描结果，右侧显示参数测试详情
• 实时状态更新
  
  ：支持报错标记(err)、时间超时标记(time)等状态显示
• 配置持久化
  
  ：所有配置自动保存，重启后自动恢复
• Windows系统优化
  
  ：针对Windows系统进行UI布局优化，确保所有按钮和组件完整显示

工具集成

• 右键菜单集成
  
  ：可通过右键菜单快速发送请求到插件
• 选择性监控
  
  ：默认只监控Proxy和Repeater的流量，需要手动启用对应的监控选项
• 自动检测
  
  ：通过右键菜单发送的请求会自动进行检测
• 多格式参数支持
  
  ：支持URL参数、POST参数、JSON参数、XML参数、Cookie参数等

监控模式说明

• Proxy监控
  
  ：启用后自动检测通过Proxy的所有HTTP流量
• Repeater监控
  
  ：启用后自动检测Repeater发送的请求
• Scanner/Intruder
  
  ：默认不自动监控，可通过右键菜单手动发送到插件
• 右键发送
  
  ：所有工具都支持通过右键菜单发送请求到插件进行检测

配置目录位置

默认配置目录（推荐）：

# WindowsC:\Users\[用户名]\dousql\# macOS/Users/[用户名]/dousql/# Linux  /home/[用户名]/dousql/

配置文件结构：

~/dousql/├── xia_SQL_diy_payload.ini           # 默认payload配置├── xia_SQL_payload_timebased.ini     # 时间盲注payload组├── xia_SQL_payload_orderby.ini       # 报错注入payload组├── xia_SQL_diy_error.ini             # 自定义报错关键字├── xia_SQL_response_time_threshold.ini # 响应时间阈值配置├── xia_SQL_length_diff_threshold.ini  # 长度差异阈值配置├── xia_SQL_blacklist_urls.ini        # 黑名单URL配置├── xia_SQL_whitelist.ini             # 白名单参数配置├── xia_SQL_blacklist.ini             # 黑名单参数配置└── xia_SQL_param_filter_mode.ini     # 参数过滤模式配置

特殊情况（jar包同级）：

/path/to/extensions/├── DouSql-3.0.4.jar          # 插件jar包└── dousql/                   # 配置文件目录    ├── xia_SQL_diy_payload.ini    ├── xia_SQL_payload_timebased.ini    └── ...

配置目录检测日志示例：

ProtectionDomain路径: /var/folders/.../tmp/burp.../20使用用户主目录: /Users/usernamehello DouSQL!你好 欢迎使用 DouSQL!version:3.0.4 (Montoya API)jar包目录: /Users/username配置文件目录: /Users/username/dousql

两者工具使用方式

1. 打开Burp Suite
2. 进入 Extensions → Installed
3. 点击 Add 按钮
4. 选择编译生成的jar文件
5. 插件加载成功后，会在标签页看到”DouSQL”

https://github.com/xiaogang000/XG_SQL

https://github.com/darkfiv/DouSql

https://github.com/smxiazi/xia_sql

*后附上免费圈子，不定时分享一些实用渗透测试工具，点击下方图片小程序进入