sqlmap簡介
Sqlmap是一種開源的滲透測試工具,可以自動檢測和利用SQL注入漏洞以及接入該數據庫的服務器。它擁有非常強大的檢測引擎、具有多種特性的滲透測試器、通過數據庫指紋提取訪問底層文件系統並通過外帶連接執行命令。
sqlmap支持五種不同的注入模式:
1、基於布爾的盲注,即可以根據返回頁面判斷條件真假的注入。
2、基於時間的盲注,即不能根據頁面返回內容判斷任何信息,用條件語句查看時間延遲語句是否執行(即頁面返回時間是否增加)來判斷。
3、基於報錯注入,即頁面會返回錯誤信息,或者把注入的語句的結果直接返回在頁面中。
4、聯合查詢注入,可以使用union的情況下的注入。
5、堆查詢注入,可以同時執行多條語句的執行時的注入。
sqlmap支持的數據庫有
MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB
使用sqlmap的話要下載以下一些軟件
1.Python的下載與安裝請參考這篇文章: https://jingyan.baidu.com/article/0bc808fc42dfab1bd485b99f.html
2.sqlmap
sqlmap的官網為:http://sqlmap.org/ 進入官網選擇點擊Download進行下載
二、安裝軟件
sqlmap是利用Python語言寫的,所以在安裝sqlmap前需要將Python這個語言環境給安裝上、參考上面的文章鏈接。
下載sqlmap之后解壓、將目錄重命令為sqlmap,然后將sqlmap復制到Python的安裝目錄下,如下圖所示:
然后在桌面新建立一個cmd的快捷方式
並命名為叫“sqlmap”
點擊完成
桌面上就會多出一個sqlmap的快捷方式、然后右鍵屬性
這里我們需要修改2個地方,一個是“目標”,一個是“起始位置”;
修改之后、點擊應用。
三、測試環境
運行前面創建的快捷方式sqlmap,提示框輸入
python sqlmap.py -h
驗證是否安裝成功、如果顯示以下信息說明安裝成功!!
