sqlmap

sqlmap是一款编程人员都在使用的sql注入测试器。sql注入测试软件中的佼佼者sqlmap。它自动化检测和利用SQL注入缺陷并接管数据库服务器的过程，具有强大的检测引擎，用于最终渗透测试仪的许多小众功能以及数据库中的指纹。

安装说明：

安装Sqlmap

Sqlmap开源项目，托管在github上，最简单的安装方法是使用git，执行以下命令

1 git clone https // github.com / sqlmapproject / sqlmap.git

片刻之后，执行该命令，可以看到当前目录中有一个名为“sqlmap”的目录。

Sqmap的Python源代码，配置文件和文档存储在此目录中。

由于Python是解释执行的语言，因此无需编译，因此已安装最新版本的Sqlmap。

cd进入“sqlmap”目录并使用命令“python sqlmap”启动Sqlmap。

如果要更新Sqlmap，请转到“sqlmap”目录并执行命令“git pull”。

常见问题：

1.我可以将sqlmap与我正在开发的安全工具集成吗？

正确。 Sqlmap是根据GPLv2条款发布的，这意味着必须分发任何衍生作品，而不进一步限制通用公共许可证本身授予的权利。

2.我可以将Sql映射嵌入到专有软件中吗？

果您想将SqLMAP技术嵌入到专有软件中，我们会出售备用许可证。

3.哪个篡改脚本用于绕过（WAF / IDS / IPS）保护？

如果无法手动评估目标，请不要使用篡改脚本。仅当渗透测试人员首先知道如何绕过保护时才使用篡改脚本（最有可能是在请求/响应检查后几个小时之后）。在不理解的情况下盲目使用和组合许多篡改脚本是一个坏主意。

软件特征：

完全支持MySQL.Oracle.PostgreSQL.Microsoft SQL Server.Microsoft Access.IBM DB2.SQLite.Firebird.Sybase.SAP MaxDB.HSQLDB和Informix等数据库管理系统。

完全支持布尔百叶窗。基于时间的百叶窗。基于错误信息的注入。联合查询注入和堆查询注入。

只要数据库证书，IP地址，端口和数据库名称允许，就支持直接连接到没有SQL注入点的数据库。

支持枚举用户。密码。哈希。权限。角色。数据库。数据表和列。

支持自动识别密码哈希格式，并通过词典破解密码哈希。

支持在数据库中完全下载表，或者只是在表中下载几列，甚至只下载一列中的部分数据，具体取决于用户的选择。

支持在数据库管理系统中搜索指定的数据库名称。表名或列名

当数据库管理系统是MySQL.PostgreSQL或Microsoft SQL Server时，支持下载或上载文件。

当数据库管理系统是MySQL.PostgreSQL或Microsoft SQL Server时，支持执行任意命令并回显标准输出。

软件描述：

Sqlmap是一款功能强大的SQL注入渗透测试软件。该软件使用四种独特的SQL注入技术，即盲推理SQL注入，UNION查询SQL注入，堆查询和基于时间的SQL盲注入。

它可以帮助用户扫描，发现和利用给定URL的SQL注入漏洞。目前，它支持多种数据库类型，如Access，mssql，mysql，oracle和postgresql。