sqlmap参数

2024年3月31日发(作者：)

sqlmap参数

SQLMap是一款非常流行的开源渗透测试工具，用于检测和利用Web

应用程序中的SQL注入漏洞。它有许多参数可以用于配置和优化扫描过程。

下面是一些SQLMap常用的参数，供参考：

2. -p, --param：指定要测试的参数，如果URL有多个参数，可以使

用逗号分隔。例如：-p "id,name"

3. --level：指定扫描的深度级别，范围从1到5，默认为1、级别

越高，扫描越深入，但也会带来更多的请求和更长的扫描时间。例如：--

level 3

4. --risk：指定扫描的风险级别，范围从1到3，默认为1、级别越

高，扫描越严格，但也可能导致误报或拒绝服务。例如：--risk 2

5. --threads：指定扫描的线程数，默认为1、增加线程数可以加快

扫描速度，但也可能导致资源瓶颈。例如：--threads 10

6. --dbms：指定目标使用的数据库管理系统。SQLMap支持多种数据

库，如MySQL、Oracle、PostgreSQL等。例如：--dbms MySQL

9. --tamper：指定自定义的数据篡改脚本。SQLMap使用数据篡改来

绕过WAF等安全控制。例如：--tamper="between,randomcase"

11. --technique：指定注入测试的技术。SQLMap支持多种注入技术，

如布尔型注入、时间延迟注入等。例如：--technique B

12. --dbms-cred：指定数据库凭据，用于访问数据库系统。例如：-

-dbms-cred "root:password"

13. --os：指定目标操作系统类型，可以是Windows或Linux。

SQLMap根据操作系统类型选择适当的注入技术和命令执行方法。例如：-

-os Linux

14. --batch：指定非交互式扫描模式，不进行任何提示或确认。适

用于批量扫描或自动化测试。例如：--batch

15. --dump：导出目标数据库的数据。使用--dump可以获取数据库

的表、列和数据。例如：--dump

16. --crawl：自动爬行目标网站，并尝试发现更多的注入点。例如：

--crawl 3

17. --dump-all：导出包括系统表和用户表在内的所有数据。例如：

--dump-all

18. --forms：从HTML表单中获取参数并进行测试。例如：--forms

19. --exclude-sysdbs：在导出数据时排除系统数据库。例如：--

exclude-sysdbs

20. --ignore-proxy：忽略使用代理时的SSL错误。例如：--

ignore-proxy

以上仅是SQLMap的部分参数，它还有很多其他功能和选项可供使用。

在使用SQLMap时，根据实际需要选择适当的参数，结合目标场景进行调

整，以获得最佳的测试结果。同时也要注意使用该工具时要遵守法律法规

和道德规范，以防止进行非法攻击或滥用。