Sqlmap的安装与简单使用

比眉伴天荒 2024-03-26 18:42 83阅读 0赞

## 一、概述 ##

### 1.1 简介 ###

sqlmap是一款开源的自动化渗透测试工具，可以扫描、发现并利用给定URL的SQL注入漏洞，检测动态页面中的get/post参数，cookie，http头，查看数据库数据，还可以访问文件系统，甚至能够执行操作系统命令。因为sqlmap由python语言编写而成，所以使用时，需要在python环境中运行。

### 1.2 功能点 ###

（1）支持的数据库管理系统包括：MySQL 、Oracle 、PostgreSQL 、Microsoft SQL Server、Microsoft Access 、IBM DB2, SQ Lite 、Firebird 、Sybase和SAPMaxDB。  
（2）支持检测方式包括：布尔盲注、时间盲注、报错注入、UNION联合查询注入、堆叠注入。  
（3）在数据库证书、IP地址、端口和数据库名等条件允许的情况下，支持不通过SQL注入点而直接连接数据库。  
（4）支持枚举用户、密码、权限、角色、数据库、数据表和列。  
（5）支持自动识别密码哈希格式并通过字典破解密码哈希。  
（6）支持完全地下载某个数据库中的某个表，也可以只下载某个表中的某几列，甚至只下载某一列中的部分数据，这完全取决于用户的选择。  
（7）当数据库管理系统是MySQL、PostgreSQL或Microsoft SQL Server时支持下载或上传文件。  
（8）当数据库管理系统是MySQL、PostgreSQL或Microsoft SQL Server时支持执行任意命令并回现标准输出。

## 二、环境安装 ##

### 2.1 Python安装 ###

#### 2.1.1环境要求 ####

当前使用版本：Python2.7  
Python下载地址：https://www.python.org/downloads/

#### 2.1.2安装过程 ####

（1）安装过程指定自己想要安装的路径，点击next，将“Add python.exe to Path"项勾选，勾选后安装完成不再需要单独添加环境变量，默认是“去勾选”的；安装成功后选择将python This feature will be installed on local hard drive。

![在这里插入图片描述][42dd811c813d4a52b53b30a1955e034d.png]

（2）因为测试环境的需要 可能会有一台电脑安装多种不同版本的python的情况，所以不直接用cmd去验证。要验证当前python安装是否成功进入python 2.7.11安装的路径下打开命令行窗口，输入“python”，显示当前python版本号，即代表安装成功。

![在这里插入图片描述][94fbea8f02464eac9e779c617d89606c.png]

### 2.2 sqlmap安装 ###

（1）在sqlmap官网http://sqlmap.org/下载最新版本的sqlmap安装包。如下图所示：

![在这里插入图片描述][8a0c1091fd894a84831677330a9a8676.png]

（2）将下载下来的安装包解压到自己想存放的目录并将解压，重命名为sqlmapproject，验证sqlmap是否安装完成，可进行如下操作进行验证

（3）打开cmd窗口，进入到python2.7.1的安装目录（这里如果配置了python环境变量，则不需要进入到此目录）：将当前的文件直接拉到 cmd上面来运行，直接运行下面的程序，并将当前的 sqlmap.py 的程序拉过来运行，可以看到当前的版本。  
![在这里插入图片描述][29aa45f43a794cb0872dffb82564e932.png]

### 2.3 windows 方便使用的方法 ###

（1&

[42dd811c813d4a52b53b30a1955e034d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/26/10a2733b044e467983e2e8e009aad184.png
[94fbea8f02464eac9e779c617d89606c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/26/288e8a3f93dc47feaa0dd2fee53f196b.png
[8a0c1091fd894a84831677330a9a8676.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/26/f5f70b65da614f9399ce5a8f9ad41321.png
[29aa45f43a794cb0872dffb82564e932.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/26/528740c7cf6942de833bdf320bde1318.png