sqlmap是一款编程人员都在使用的sql注入测试器。sql注入测试软件中的佼佼者sqlmap。它自动化检测和利用SQL注入缺陷并接管数据库服务器的过程,具有强大的检测引擎,用于最终渗透测试仪的许多小众功能以及数据库中的指纹。
安装说明:
安装Sqlmap
Sqlmap开源项目,托管在github上,最简单的安装方法是使用git,执行以下命令
1 git clone https // github.com / sqlmapproject / sqlmap.git
片刻之后,执行该命令,可以看到当前目录中有一个名为“sqlmap”的目录。
Sqmap的Python源代码,配置文件和文档存储在此目录中。
由于Python是解释执行的语言,因此无需编译,因此已安装最新版本的Sqlmap。
cd进入“sqlmap”目录并使用命令“python sqlmap”启动Sqlmap。
如果要更新Sqlmap,请转到“sqlmap”目录并执行命令“git pull”。
常见问题:
1.我可以将sqlmap与我正在开发的安全工具集成吗?
正确。 Sqlmap是根据GPLv2条款发布的,这意味着必须分发任何衍生作品,而不进一步限制通用公共许可证本身授予的权利。
2.我可以将Sql映射嵌入到专有软件中吗?
果您想将SqLMAP技术嵌入到专有软件中,我们会出售备用许可证。
3.哪个篡改脚本用于绕过(WAF / IDS / IPS)保护?
如果无法手动评估目标,请不要使用篡改脚本。仅当渗透测试人员首先知道如何绕过保护时才使用篡改脚本(最有可能是在请求/响应检查后几个小时之后)。在不理解的情况下盲目使用和组合许多篡改脚本是一个坏主意。
软件特征:
完全支持MySQL.Oracle.PostgreSQL.Microsoft SQL Server.Microsoft Access.IBM DB2.SQLite.Firebird.Sybase.SAP MaxDB.HSQLDB和Informix等数据库管理系统。
完全支持布尔百叶窗。基于时间的百叶窗。基于错误信息的注入。联合查询注入和堆查询注入。
只要数据库证书,IP地址,端口和数据库名称允许,就支持直接连接到没有SQL注入点的数据库。
支持枚举用户。密码。哈希。权限。角色。数据库。数据表和列。
支持自动识别密码哈希格式,并通过词典破解密码哈希。
支持在数据库中完全下载表,或者只是在表中下载几列,甚至只下载一列中的部分数据,具体取决于用户的选择。
支持在数据库管理系统中搜索指定的数据库名称。表名或列名
当数据库管理系统是MySQL.PostgreSQL或Microsoft SQL Server时,支持下载或上载文件。
当数据库管理系统是MySQL.PostgreSQL或Microsoft SQL Server时,支持执行任意命令并回显标准输出。
软件描述:
Sqlmap是一款功能强大的SQL注入渗透测试软件。该软件使用四种独特的SQL注入技术,即盲推理SQL注入,UNION查询SQL注入,堆查询和基于时间的SQL盲注入。
它可以帮助用户扫描,发现和利用给定URL的SQL注入漏洞。目前,它支持多种数据库类型,如Access,mssql,mysql,oracle和postgresql。