SQLmap(自动化SQL注入工具)

大小：7.28M 类别：

编程其它

官方安全无插件纠错

更新时间2023-08-19
版本v1.7.8
系统Pc
语言简体中文

详情
相关
评论

SQLmap是一个开源免费，且非常知名的自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL和SQL注入漏洞，其广泛的功能和选项包括数据库指纹，枚举，数据库提权，访问目标文件系统，并在获取操作权限时执行任意命令。SQLmaps可自动检测和利用 SQL 注入缺陷并接管数据库服务器，其配备了强大的检测引擎，终极渗透测试仪的许多利基功能，以及从数据库指纹识别，从数据库获取数据到访问底层文件系统和通过带外连接在操作系统上执行命令的各种开关。

小编这里为大家分享SQLmap工具完整版，由Python写成，后文教大家如何安装，亲测有效，有需求的用户还请下载体验。

功能特色

1、完全支持MySQL，Oracle，PostgreSQL，Microsoft SQL Server，Microsoft Access，IBM DB2，SQLite，Firebird，Sybase，SAP MaxDB，Informix，MariaDB，MemSQL，TiDB，CockroachDB，HSQLDB，H2，MonetDB，Apache Derby，Amazon Redshift，Vertica，Mckoi，Presto，Altibase，MimerSQL，CrateDB，Greenplum，Drizzle，Apache Ignite，Cubrid，InterSystems Cache，IRIS，eXtremeDB，FrontBase，Raima Database Manager，YugabyteDB，ClickHouse和Virtuoso数据库管理系统。

2、完全支持六种SQL注入技术：基于布尔值的盲区，基于时间的盲区，基于错误的，基于UNION查询的，堆叠查询和带外查询。

3、通过提供 DBMS 凭据、IP 地址、端口和数据库名称，支持直接连接到数据库，而无需通过 SQL 注入传递。

4、支持枚举用户、密码哈希、权限、角色、数据库、表和列。

5、自动识别密码哈希格式并支持使用基于字典的攻击对其进行破解。

6、支持完全转储数据库表，一系列条目或根据用户的选择的特定列。用户还可以选择仅转储每列条目中的字符范围。

7、支持搜索特定数据库名称、所有数据库中的特定表或所有数据库表中的特定列。例如，这对于标识包含自定义应用程序凭据的表非常有用，其中相关列的名称包含 name 和 pass 等字符串。

8、当数据库软件是MySQL，PostgreSQL或Microsoft SQL Server时，支持从数据库服务器底层文件系统下载和上传任何文件。

9、当数据库软件是MySQL，PostgreSQL或Microsoft SQL Server时，支持在数据库服务器底层操作系统上执行任意命令并检索其标准输出。

10、支持在攻击者计算机和数据库服务器基础操作系统之间建立带外有状态 TCP 连接。此通道可以是交互式命令提示符、Meterpreter 会话或图形用户界面（VNC）会话，具体取决于用户的选择。

11、通过Metasploit的Meterpreter命令支持数据库进程的用户权限提升。

SQLmap安装教程

SQLMAP是开源的自动化SQL注入工具，由Python写成，所以安装SQLmap需要在电脑中先安装Python

Python下载地址：https://m.32r.com/soft/4346.html

1、安装SQLMAP

2、重命名为sqlmap

3、生成sqlmap快捷方式

①桌面右键创建快捷方式

②输入cmd

③输入快捷方式名称

④在生成的SQLMAP下右键属性，修改起始位置为你储存sqlmap的起始位置，点击应用，确定

⑤进来就是这样的

SQLMAP目录介绍

1、doc目录：保护sqlmap的简要说明，具体使用说明，作者信息等。

2、extra目录：包含sqlmap的额外功能，如发出声响、允许cmd、安全执行等。

4、plugins目录：包含了sqlmap目前支持的13种数据库信息和数据库通用事项。

5、procs目录：包含了mssql、mysql、oracle、postgresql的触发程序。

6、shell目录：包含了注入成功后的9种shell远程命令执行。

7、tamper目录：包含了waf绕过脚本。

8、thirdparty目录：包含了第三方插件，例如优化，保持连接，颜色。

9、txt目录：包含了表名字典，列名字典，UA字典等。

10、udf目录：存放攻击载荷。

11、waf目录：存放waf特征判断脚本。

12、xml目录：存放多种数据库注入检测的payload等信息。

SQLMAP特性

sqlmap支持常见的六种不同的注入模式（不计算其他数据库类型）：

1、基于布尔盲注，即可以根据返回页面判断条件真假的注入。

2、基于时间盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。

3、基于报错注入、即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。

4、联合查询注入、可以使用union的情况下的注入。

5、堆查询注入、可以同时执行多条语句的执行时的注入。

6、内联查询注入、在sql语句中执行sql语句。

展开内容

精彩推荐

猜您喜欢

渗透测试软件大全

渗透测试工具是用于模拟对计算机系统、网络或Web应用程序的网络攻击，以便在实际攻击者之前发现安全漏洞的软件。这类工具可以帮助安全团队评估系统的安全性，识别潜在的威胁，并制定相应的防护措施。3322软件站整理制作了渗透测试软件大全供您选择，包括nmap、wireshark、SQLmap、Burp Suite、AppScan、Kali Linux等。这些渗透测试工具能全方位满足你的各种测试需求。有兴趣的小伙伴欢迎来3322下载使用。

共有 8 款应用全部>>

系统安全检测软件合集

现在人们的工作以及生活很多都是离不开电脑的使用，那么你是否真的了解你的电脑，你是否知道自己的电脑是否是“健康”？系统安全检测软件是用于帮助用户对电脑系统进行的检测，包括硬件、病毒、漏洞等。小编给大家推荐了一些好用的系统安全检测软件，包括360安全卫士、金山毒霸、电脑管家等，用户如果还在为电脑使用期间的安全保障感到担忧的话，不妨下载这些软件为自己的电脑做一次全面检测，感兴趣的朋友在本页面下载吧！

共有 9 款应用全部>>

类似软件

Appium

9.0/153.78M

开源、跨平台移动应用自动化测试框架

查看
Notepad++中文版

6.7/7.91M

程序员常用的代码编辑器，轻量高效

查看
ApexSQL Generate

9.1/51.98M

ApexSQL Generate是一款强大的SQL Server测试数据生成器。功能上软件就为用户们提供了指定的列项和表格生成测试数据，支持预定义生成器、表格映射、生成数据的预览、随机化测试数据、跨数据库数据生成自定义SQL语句等功能，非常适合SQL Server数据库开发人员使

查看
Egret Conversion(Egret项目转换工具)

9.0/12.21M

Egret Conversion电脑版是一款能够快速的将用户现有的Flash项目转换成Egret HTML5项目的强大工具。软件由著名的引擎开发公司白鹭时代推出，是非常强大的一款国产工具，界面友好易用，无需其他辅助工具，功能强大可扩展，支持AS3等各种复杂的语法特性，涵盖了大部分

查看

网友评论

0人参与，0条评论

评论需审核后才能显示