文章总结： DouSql是一款基于XiaSql二次开发的SQL注入检测工具，专为渗透测试和安全研究设计。它具备多种核心功能：支持报错、时间盲注等多种检测方式；内置7个payload组以适配不同数据库；可智能分析响应长度、时间等关键指标，并识别33种数据库与框架的报错信息。此外，工具还提供高级配置选项，如参数过滤、响应过滤及自定义延时发包，以灵活应对复杂场景。其用户界面支持双语言切换和实时状态更新，集成了BurpSuite的多项监控模式，便于自动化检测。 综合评分： 85 文章分类： 渗透测试,WEB安全,安全工具,红队,内网渗透

工具推荐 | DouSql基于 Xia Sql 二次开发，高度自定义SQL注入检测，灵活适配复杂场景

darkfiv darkfiv

星落安全团队

2026年3月24日 00:01 黑龙江

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送，建议大家能把星落安全团队“设为星标”，否则可能就看不到了啦！

【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统以及盈利等目的，一切后果由操作者自行承担！！！

工具介绍

DouSql 是基于Xia Sql二次开发的高度自定义化SQL注入检测插件，专为安全研究人员和渗透测试工程师打造。

核心检测功能

• 多种SQL注入检测

  ：支持报错注入、时间盲注、布尔盲注等多种检测方式

• 智能payload管理

  ：内置7个payload组，包含Mysql、Mssql、Oracle等。

• 实时响应分析

  ：自动分析响应长度、时间、状态码等关键指标

• 全面的报错信息识别

  ：内置33种数据库和框架的错误信息模式，支持MySQL、Oracle、PostgreSQL、SQL Server、SQLite等

• 增强JSON处理

  ：使用Burp Suite内置API处理复杂嵌套JSON结构，支持任意深度的对象、数组和混合数据类型

高级配置选项

• 参数过滤系统

  ：支持白名单/黑名单模式，精确控制测试范围

• 响应过滤系统

  ：在payload测试过程中过滤无效响应，支持状态码、响应头、响应体内容、响应大小等多种过滤条件，支持AND/OR逻辑组合

• URL黑名单过滤

  ：可配置黑名单URL，跳过不需要测试的路径

• 静态文件过滤

  ：自动跳过图片、样式、脚本等静态资源文件（支持30+种文件类型）

• 响应时间阈值

  ：可自定义时间盲注检测阈值

• 长度差异阈值

  ：可配置响应长度差异检测敏感度

• 自定义延时发包

  ：支持固定延时和随机延时，可配置延时区间（默认1-5秒）

• 自定义追加参数

  ：支持为请求自动追加多个指定参数，兼容URL、POST、JSON等格式

• 智能参数测试控制

  ：追加参数可选择是否参与payload测试，提供灵活的测试策略

最新功能亮点

• 完全修复中文参数编码问题

  ：支持UTF-8、GBK、GB2312等多种编码格式

• 智能编码检测与修复

  ：自动识别并修复参数传递过程中的编码损坏

• 增强JSON处理能力

  ：完美支持复杂嵌套JSON结构的中文参数

• 优化默认payload

  ：更新18个高质量SQL注入检测payload

• payload管理优化

  ：分离保存和加载功能，操作更直观

• 自定义延时发包

  ：支持三种延时模式，可配置固定或随机延时，避免WAF检测

• 智能追加参数

  ：支持URL、POST、JSON三种格式的多参数自动追加，每个参数可独立控制测试开关

用户界面特性

• 双面板设计

  ：左侧显示扫描结果，右侧显示参数测试详情

• 多语言界面

  ：支持中文/英文双语言，可根据系统自动选择或手动切换

• 实时状态更新

  ：支持报错标记(err)、时间超时标记(time)、长度差异标记(diff)等状态显示

• 停止测试功能

  ：右键点击扫描结果中的URL，可选择停止该URL的测试

• 删除测试结果

  ：右键点击扫描结果，可删除单个结果；清空所有结果可使用控制面板的”清空列表”按钮

• 配置持久化

  ：所有配置自动保存，重启后自动恢复

• Windows系统优化

  ：针对Windows系统进行UI布局优化，确保所有按钮和组件完整显示

工具集成

• 智能右键菜单

  ：支持payload组选择、停止测试、删除结果等多种操作

• 选择性监控

  ：默认只监控Proxy和Repeater的流量，需要手动启用对应的监控选项

• 自动检测

  ：通过右键菜单发送的请求会自动进行检测

• 多格式参数支持

  ：支持URL参数、POST参数、JSON参数、XML参数、Cookie参数等

• 灵活测试策略

  ：可根据不同场景选择合适的payload组，如盲注场景使用blind-injection-fuzz组，登录场景使用login-password-injection-fuzz组，WAF绕过使用union-select-bypass组

监控模式说明

• Proxy监控

  ：启用后自动检测通过Proxy的所有HTTP流量

• Repeater监控

  ：启用后自动检测Repeater发送的请求

• Scanner/Intruder

  ：默认不自动监控，可通过右键菜单手动发送到插件

• 右键发送

  ：所有工具都支持通过右键菜单发送请求到插件进行检测

• 使用当前组

  ：使用插件界面当前选中的payload组进行测试

• 指定payload组

  ：可选择特定的payload组（如default、blind-injection-fuzz、login-password-injection-fuzz、union-select-bypass等）进行针对性测试

主要功能

相关地址

关注微信公众号后台回复“入群”，即可进入星落安全交流群！

关注微信公众号后台回复“20260324”，即可获取项目下载地址！

圈子介绍

博主介绍：

目前工作在某安全公司攻防实验室，一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练，擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容：

• 部分免杀项目源代码

• 星落安全内部免杀工具箱1.2.1

• GoCobaltStrike星落专版2.0

• 一键击溃windows defender

• 一键击溃火绒进程

• CobaltStrike免杀加载器

• 数据库直连工具免杀版

• aspx文件自动上线cobaltbrike

• jsp文件自动上线cobaltbrike

• 哥斯拉免杀工具 XlByPassGodzilla

• 冰蝎免杀工具 XlByPassBehinder

• 冰蝎星落专版 xlbehinder

• 正向代理工具 xleoreg

• 反向代理工具xlfrc

• 内网扫描工具 xlscan

• Todesk/向日葵密码读取工具

• 导出lsass内存工具 xlrls

• 绕过WAF免杀工具 ByPassWAF

• 等等…

目前星球已满1100人，价格由208元调整为218元(交个朋友啦)，1200名以后涨价至268元。

往期推荐

1.加量不加价 | 星落免杀第二期，助你打造专属免杀武器库

2.【干货】你不得不学习的内网渗透手法

3.新增全新Web UI版本，操作与管理全面升级 | GoCobalt Strike 2.0正式发布！

4.【免杀】原来SQL注入也可以绕过杀软执行shellcode上线CoblatStrike

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星落安全团队 darkfiv darkfiv《工具推荐 | DouSql基于 Xia Sql 二次开发，高度自定义SQL注入检测，灵活适配复杂场景》