(Burp suite插件)二开S-XIASQL V1.1 内测发布全程点点就出洞

# S-XIASQL V1.1 – Burp Suite SQL注入检测插件（激活码在最后）

> 致敬原作者：瞎注 (author: 算命缭子 blog:www.nmd5.com)

> 二次开发：smile | 交流群联系VX: AMidnightCafe

## 📖 插件简介

S-XIASQL 是一款专业的 Burp Suite SQL注入检测插件，能够自动化检测Web应用中的SQL注入漏洞。通过智能分析HTTP请求响应，快速识别潜在的SQL注入点，大幅提升渗透测试效率。

## ✨ 核心功能

### 1. 🔍 自动SQL注入检测

–**智能参数识别**：自动识别URL参数、POST参数、Cookie参数、JSON参数

–**多种Payload测试**：

– 单引号测试 (`’` 和 `”`)

– 数字型测试 (`-1` 和 `-0`)

– 自定义Payload支持等

–**响应差异分析**：通过比较响应长度差异判断注入点

–**时间盲注检测**：检测响应时间超过3秒的延迟注入

### 2. 🎯 SQL注入确认机制

–**三重验证**：

–**高可信度标记**：确认的SQL注入点标红显示，可信度90%以上

–**独立确认面板**：专门的”存在SQL注入”表格，一目了然

### 3. 🔄 自动URL解码测试

–**递归解码**：自动识别并解码URL编码的参数值

–**嵌套JSON检测**：解码后自动检测JSON格式并测试内部参数

–**深度测试**：支持多层编码的参数测试

### 4. 🛠️ 一键sqlmap集成

–**自动保存请求包**：一键将请求保存为sqlmap可用格式

–**智能命令生成**：自动生成sqlmap命令，包含参数和HTTPS支持

–**自定义语法**：支持自定义sqlmap参数和tamper脚本

–**目录配置**：灵活配置sqlmap和Python路径

### 5. 📝 自定义Payload

–**自定义SQL语句**：支持添加自定义测试Payload

–**空格URL编码**：可选将空格自动编码为%20

–**参数值置空**：可选在测试时将原参数值置空

–**配置持久化**：自定义Payload自动保存到配置文件

### 6. 🔧 自定义报错信息

–**正则表达式支持**：使用正则匹配SQL错误信息

–**多数据库支持**：内置MySQL、Oracle、SQL Server、PostgreSQL、SQLite等错误特征

–**中英文错误识别**：支持中英文SQL错误信息检测

### 7. 📊 智能过滤

–**静态资源过滤**：自动跳过jpg、png、gif、css、js等静态文件

–**二进制文件检测**：自动识别并跳过图片等二进制响应

–**白名单机制**：支持域名白名单，只测试指定目标

–**请求去重**：基于MD5的请求去重，避免重复测试

### 8. 🎨 可视化界面

–**双表格视图**：

– 左侧：请求列表（来源、URL、返回包长度、状态）

– 右侧：Payload详情（参数、payload、返回包长度、变化、用时、响应码）

–**颜色标记**：

– 🔴 红色：确认存在SQL注入

– 🟡 黄色：存在差异，需人工确认

– ⚪ 白色：正常

–**请求/响应查看器**：内置Request和Response查看面板

## 🚀 使用方法

### 安装

1. 打开 Burp Suite

2. 进入 Extender -> Extensions

3. 点击 Add，选择 `S-XIASQL.V1.1内测版本.jar`

4. 插件加载成功后，会出现 “S-XIASQL” 标签页

### 基本使用

1.**启动插件**：勾选”启动插件”

2.**选择监控来源**：

– 勾选”监控Repeater”：监控Repeater发送的请求

– 勾选”监控Proxy”：监控代理流量

3.**发送测试**：

– 在Repeater/Proxy中右键选择”Send to xia SQL”

– 或直接通过监控自动检测

4.**查看结果**：

– 左侧表格显示测试的请求

– 点击请求查看右侧Payload详情

– 红色标记的为确认存在SQL注入

### 高级功能

–**测试Cookie**：勾选”测试Cookie”检测Cookie中的注入点

–**自动URL解码测试**：勾选后自动解码并测试编码参数

–**数字型测试**：勾选”值是数字则进行-1、-0″启用数字型测试

–**白名单**：填写域名并点击”启动白名单”只测试指定目标

### 一键sqlmap

1. 在”存在SQL注入”表格中找到确认的注入点

2. 点击”设置目录”配置sqlmap和Python路径

3. 点击”一键sqlmap”自动执行测试

4. 或点击”设置语法”自定义sqlmap参数

## 🔒 安全特性

–**版本检测**：启动时自动检测版本更新

–**后台检测**：版本检测在后台线程执行，不影响插件加载

## 📝 更新日志

### V1.1

– ✅ 优化自定义不显BUG

– ✅ 修复误报几率，提高检测注入点

– ✅ 新增主表格同步高亮

– ✅ 功能数字-1，-0进入测试，收集反馈为后续降低误报

## 获取插件关注公众号发送：0206

🔥 github地址：

https://github.com/qazwsx5293870/S-XIASQL

🔥 bilibili视频讲解：

https://www.bilibili.com/video/BV1YqFMzFEpr/?spm_id_from=333.1387.homepage.video_card.click&vd_source=9f51d00a04f61cb2ea1e63b0b0cebb7c1e63b0b0cebb7c

激活码：

1P3P-Q6PD-LNM5-KY2C

RD77-ROXD-6CS7-X8G8

47H4-I538-NLI2-5CZV

JH6A-OK73-F4Z6-K01U

D8B5-RP3O-HBFW-2D4R

7ULT-05QX-XKEC-TTHH

S13Q-Q298-FVIB-ZV23

DKA9-ULCC-Y091-AMFT

M7A1-FUXW-YMI1-Q4NG

SK8Z-VFO0-1R7W-5OX9

O88G-MS2N-FY0L-FOLC

53WP-2IZN-6GHO-RZ45

17OV-B39U-T78E-WLBO

Q0LS-F4YH-SY4V-BHG8

50C7-8A8E-L1KI-RL2X

6K60-373P-FS8E-VSGD

I6OY-I1RL-GLPX-ICQ8

W89L-R8Z3-0XEC-MEA3

L3DB-YU1G-MIQO-4U57

5G2O-O5RN-5Z74-53GG

0MMP-8AI6-OBO9-SYVG

8QSI-0JQO-ZR1D-PUEA

ZYQ9-NFOG-QMBP-RXL2

00PP-7N59-LN8O-68GK

PVOQ-L214-INT1-N8I7

H63M-UMYE-2MLV-F2KU

3GDI-95EM-ATLE-48Z4

FEHW-D8T4-4Q5W-U7MZ

C2N7-DXNJ-SVFJ-3TCH

NR88-Z4RU-QQRC-S8KU

C3N5-MWQN-5SMZ-HVRT

3RWC-XEQM-8A93-U30X

0HXD-PJPW-HXYG-YZNF

5I65-EP0X-0DU5-38BH

0I6C-J6EF-YFC8-W281

8GW9-ITQS-Y8CF-DG8H

1MD4-H03I-IJUG-T3J1

OOD7-I7K6-WVZF-8AIJ

RSXR-ZY1F-BT05-1S2N

QREY-VMPM-ZICW-7K7L

D3LO-HLPG-NJ0W-4BXJ

WG1Q-5ZWD-NJRG-NFGW

EZ82-CI8C-0WXK-9E6D

MACW-KTLH-W78Q-TPPE

X6KQ-1PRU-QKU0-0OEB

2ADM-GOF9-86D4-PQ66

OCJ9-UXW0-HDWM-T7H4

TL6T-X24E-Z94C-8IPQ

IRLP-NEVD-HFQ1-TXEN

2VX0-6AUN-XW47-913U

## ⚠️ 免责声明

本工具仅供安全研究和授权渗透测试使用。使用本工具进行未授权的测试属于违法行为，使用者需自行承担法律责任。

## 📧 联系方式

如有建议或交流，请联系：

– 微信：AMidnightCafe

—

**致敬原作者算命瞎子！**