-u
get 注入
-r:
萬能參數(shù)腾供。brup suite 在注入點(diǎn)抓包憔古。將數(shù)據(jù)包放到文件里遮怜。-r后接文件路徑。
--level
執(zhí)行測(cè)試的等級(jí)(1-5鸿市,默認(rèn)為1锯梁。1檢測(cè) get、post焰情。級(jí)別最低陌凳,但檢測(cè)速度快。),使用–level 參數(shù)且數(shù)值>=2的時(shí)候增減檢查cookie里面的參數(shù)内舟,當(dāng)>=3的時(shí)候?qū)⒃黾訖z查User-agent和Referer合敦。最高級(jí)別,啥都檢測(cè)验游。
--risk
執(zhí)行測(cè)試的風(fēng)險(xiǎn)(0-3充岛,默認(rèn)為1),默認(rèn)是1會(huì)測(cè)試大部分的測(cè)試語句,2會(huì)增加基于事件的測(cè)試語句耕蝉,3會(huì)增加OR語句的SQL注入測(cè)試崔梗。
-v
顯示詳細(xì)信息。
ERBOSE信息級(jí)別: 0-6 (缺省1)垒在,其值具體含義:“0”只顯示python錯(cuò)誤以及嚴(yán)重的信息蒜魄;1同時(shí)顯示基本信息和警告信息(默認(rèn));“2”同時(shí)顯示debug信息;“3”同時(shí)顯示注入的payload权悟;“4”同時(shí)顯示HTTP請(qǐng)求砸王;“5”同時(shí)顯示HTTP響應(yīng)頭;“6”同時(shí)顯示HTTP響應(yīng)頁面峦阁;如果想看到sqlmap發(fā)送的測(cè)試payload最好的等級(jí)就是3谦铃。
-p
針對(duì)某一個(gè)參數(shù)。.
-batch-smart
智能判斷測(cè)試? (可破解數(shù)據(jù)庫賬號(hào)密碼)(整個(gè)數(shù)據(jù)庫所有的庫)
DBA若為true榔昔,說明當(dāng)前為root賬號(hào)驹闰。
完成之后有一份報(bào)告存在如下路徑。
-threads ads 線程數(shù) 默認(rèn)是10 撒会。
--mobile
模擬測(cè)試手機(jī)環(huán)境站點(diǎn)? (可以偽造user agent頭嘹朗。如果只能用xx訪問)
-m:批量注入。
先將要檢測(cè)的URL放入記事本中诵肛,保存在c盤屹培。
然后在sqlmap -m 后接文件路徑。 sqlmap會(huì)一個(gè)一個(gè)檢測(cè)怔檩。
--current-da:獲取當(dāng)前數(shù)據(jù)庫褪秀。
獲取表名:--tables -D 數(shù)據(jù)庫名
字段名:--columns -T 表名 -D 數(shù)據(jù)庫名
數(shù)據(jù)內(nèi)容:-T 表名 -C username,password --dump
獲得的數(shù)據(jù)庫字段內(nèi)容會(huì)保存在如下的路徑中薛训。第一個(gè)路徑媒吗。
