工具推荐 | DouSql基于 Xia Sql 二次开发,高度自定义SQL注入检测,灵活适配复杂场景

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送，建议大家能把星落安全团队“设为星标”，否则可能就看不到了啦！

DouSql 是基于Xia Sql二次开发的高度自定义化SQL注入检测插件，专为安全研究人员和渗透测试工程师打造。

核心检测功能

• 多种SQL注入检测
  
  ：支持报错注入、时间盲注、布尔盲注等多种检测方式
• 智能payload管理
  
  ：内置7个payload组，包含Mysql、Mssql、Oracle等。
• 实时响应分析
  
  ：自动分析响应长度、时间、状态码等关键指标
• 全面的报错信息识别
  
  ：内置33种数据库和框架的错误信息模式，支持MySQL、Oracle、PostgreSQL、SQL Server、SQLite等
• 增强JSON处理
  
  ：使用Burp Suite内置API处理复杂嵌套JSON结构，支持任意深度的对象、数组和混合数据类型

高级配置选项

• 参数过滤系统
  
  ：支持白名单/黑名单模式，精确控制测试范围
• 响应过滤系统
  
  ：在payload测试过程中过滤无效响应，支持状态码、响应头、响应体内容、响应大小等多种过滤条件，支持AND/OR逻辑组合
• URL黑名单过滤
  
  ：可配置黑名单URL，跳过不需要测试的路径
• 静态文件过滤
  
  ：自动跳过图片、样式、脚本等静态资源文件（支持30+种文件类型）
• 响应时间阈值
  
  ：可自定义时间盲注检测阈值
• 长度差异阈值
  
  ：可配置响应长度差异检测敏感度
• 自定义延时发包
  
  ：支持固定延时和随机延时，可配置延时区间（默认1-5秒）
• 自定义追加参数
  
  ：支持为请求自动追加多个指定参数，兼容URL、POST、JSON等格式
• 智能参数测试控制
  
  ：追加参数可选择是否参与payload测试，提供灵活的测试策略

最新功能亮点

• 完全修复中文参数编码问题
  
  ：支持UTF-8、GBK、GB2312等多种编码格式
• 智能编码检测与修复
  
  ：自动识别并修复参数传递过程中的编码损坏
• 增强JSON处理能力
  
  ：完美支持复杂嵌套JSON结构的中文参数
• 优化默认payload
  
  ：更新18个高质量SQL注入检测payload
• payload管理优化
  
  ：分离保存和加载功能，操作更直观
• 自定义延时发包
  
  ：支持三种延时模式，可配置固定或随机延时，避免WAF检测
• 智能追加参数
  
  ：支持URL、POST、JSON三种格式的多参数自动追加，每个参数可独立控制测试开关

用户界面特性

• 双面板设计
  
  ：左侧显示扫描结果，右侧显示参数测试详情
• 多语言界面
  
  ：支持中文/英文双语言，可根据系统自动选择或手动切换
• 实时状态更新
  
  ：支持报错标记(err)、时间超时标记(time)、长度差异标记(diff)等状态显示
• 停止测试功能
  
  ：右键点击扫描结果中的URL，可选择停止该URL的测试
• 删除测试结果
  
  ：右键点击扫描结果，可删除单个结果；清空所有结果可使用控制面板的”清空列表”按钮
• 配置持久化
  
  ：所有配置自动保存，重启后自动恢复
• Windows系统优化
  
  ：针对Windows系统进行UI布局优化，确保所有按钮和组件完整显示

工具集成

• 智能右键菜单
  
  ：支持payload组选择、停止测试、删除结果等多种操作
• 选择性监控
  
  ：默认只监控Proxy和Repeater的流量，需要手动启用对应的监控选项
• 自动检测
  
  ：通过右键菜单发送的请求会自动进行检测
• 多格式参数支持
  
  ：支持URL参数、POST参数、JSON参数、XML参数、Cookie参数等
• 灵活测试策略
  
  ：可根据不同场景选择合适的payload组，如盲注场景使用blind-injection-fuzz组，登录场景使用login-password-injection-fuzz组，WAF绕过使用union-select-bypass组

监控模式说明

• Proxy监控
  
  ：启用后自动检测通过Proxy的所有HTTP流量
• Repeater监控
  
  ：启用后自动检测Repeater发送的请求
• Scanner/Intruder
  
  ：默认不自动监控，可通过右键菜单手动发送到插件
• 右键发送
  
  ：所有工具都支持通过右键菜单发送请求到插件进行检测
• 使用当前组
  
  ：使用插件界面当前选中的payload组进行测试
• 指定payload组
  
  ：可选择特定的payload组（如default、blind-injection-fuzz、login-password-injection-fuzz、union-select-bypass等）进行针对性测试

主要功能

博主介绍：

目前工作在某安全公司攻防实验室，一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练，擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容：

• 部分免杀项目源代码

• 星落安全内部免杀工具箱1.2.1

• GoCobaltStrike星落专版2.0

• 一键击溃windows defender

• 一键击溃火绒进程

• CobaltStrike免杀加载器

• 数据库直连工具免杀版

• aspx文件自动上线cobaltbrike

• jsp文件自动上线cobaltbrike

• 哥斯拉免杀工具 XlByPassGodzilla

• 冰蝎免杀工具 XlByPassBehinder

• 冰蝎星落专版 xlbehinder

• 正向代理工具 xleoreg

• 反向代理工具xlfrc

• 内网扫描工具 xlscan

• Todesk/向日葵密码读取工具

• 导出lsass内存工具 xlrls

• 绕过WAF免杀工具 ByPassWAF

• 等等…

往期推荐

1.加量不加价 | 星落免杀第二期，助你打造专属免杀武器库

2.【干货】你不得不学习的内网渗透手法

3.新增全新Web UI版本，操作与管理全面升级 | GoCobalt Strike 2.0正式发布！

4.【免杀】原来SQL注入也可以绕过杀软执行shellcode上线CoblatStrike