sqlmap是一款開源的注入工具,支持幾乎所有的數據庫,支持get/post/cookie注入,支持錯誤回顯注入/盲注,還有其他多種注入方法。 支持代理,指紋識別技術判斷數據庫 。而sqm(sqlmapGUI)是一個圖形界面,在上面可以快速地組裝參數,構造sqlmap命令語句,來調用sqlmap來執行。
sqm的原作者我不了解,而漢化者是ettack,這工具在2012年左右比較流行,這幾天我才了解,想在網上找一個下載也麻煩,原本的網址大多失效,最后還得在csdn花10積分下載的,安裝運行后覺得還是個蠻不錯的工具,只是看那個sqlmqp命令語句只有單行很不爽,還有現在一些網址得經過代理才可以訪問,原來程序里面沒包括代理這個選項。於是嘛,我花了點時間修改了源碼,雖然之前自己鼓搗過一點Tkinter,但修改布局的過程還是蠻苦逼的。
-----------
這是軟件運行后的界面:
這是新增的“代理”界面:
---------------
下載地址:http://files.cnblogs.com/files/pcat/sqlmapGUI.zip
(如果有任何問題、意見&建議,歡迎跟我聯系)
---------------
安裝方法:
只限py2.x版本
1.進入pyttk-0.3-py3k目錄,執行如下語句安裝ttk模塊:
linux: sudo python setup.py install windows: python setup.py install
2.將sqm.pyw和cfg_dir一起復制到sqlmap同一目錄下,執行命令
linux: sudo python sqm.pyw windows: python sqm.pyw
(windows的也可以雙擊打開sqm.pyw運行)
---------------
使用方法:
輸入目標url后,然后勾選你所要的各種參數,點擊“構造命令語句”即會生成相對應的sqlmap命令語句,再點擊“開始”就會打開sqlmap命令窗口來運行。
ps. sqlmap發起的請求會帶着sqlmap默認的user-agent,而“構造命令語句”中自動生成的--random-agent參數會隨機生成user-agent
---------------
修改版 by pcat
http://pcat.cnblogs.com/
修改如下:
1.增加sqlmap命令語句輸入框自動換行和滾動條,方便輸入、觀察
2.修復以往“枚舉”標簽下3個輸入框的遮擋bug
3.增加“代理”標簽
4.其他零散的
最后,補充上sqlmap的Usage:
https://github.com/sqlmapproject/sqlmap/wiki/Usage