SQL注入测试神器sqlmap

点击上方蓝字“开源优测”一起玩耍

SQL注入测试神器sqlmap

介绍

sqlmap 是一个开源的渗透测试工具，可以用来自动化的检测，利用SQL注入漏洞，获取数据库服务器的权限。

它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项，包括获取数据库中存储的数据，访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

官网

sqlmap官网

http://sqlmap.org/

前提

sqlmap是基于python2.x进行开发的，所以要使用sqlmap请先安装python2，建议安装python2.7.x系列。

安装

方法一：

从这里下载：

https://github.com/sqlmapproject/sqlmap/tarball/master

或是

https://github.com/sqlmapproject/sqlmap/zipball/master

下载后，解压到sqlmap目录中，目录结构如下图所示（笔者解压到C:\sqlmap下）：

切换至C:\sqlmap目录，使用以下命令，查看sqlmap基本用法和命令行参数：

python sqlmap.py -h

结果如下图所示：

查看sqlmap所有的用法和命令行参数：

python sqlmap.py -hh

结果如下图所示:

示例

下面我们对一个目标mysql来一个简单的命令试试（注，请使用你自己搭建的测试mysql服务）:

python sqlmap.py -d "mysql://admin:admin@localhost:3306/test" -f --banner --dbs --users

至于会有什么结果，请看下图：

对于如何入门使用，请看如下视频：

https://asciinema.org/a/46601

手册

对于更详细的使用手册，请参见：

https://github.com/sqlmapproject/sqlmap/wiki/Usage

开源优测

分享软件测试开源技术、经验、方案的首发平台

长按二维码/微信扫描 关注开源优测

QQ群：260407012

苦叶子私人微信：liyimin1912

有问题，可留言或加好友进微信群

苦叶子原创文章首发平台