一、sqlmap工具简介
SQLMap 是一个自动化的 SQL 注入和渗透测试工具,是开源免费的, 支持 MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase 和 SAP MaxDB 等数据库管理系统, 可以帮助渗透测试人员自动化地检测和利用 SQL 注入漏洞,获取数据库服务器上的数据,甚至可以在某些情况下获取操作系统的 shell。
在利用安全扫描工具AppScan扫描出安全漏洞后,再利用此工具做二次确认,扫描出SQL注入点。
二、安装步骤:
1、安装Python
此次演示的Python版本是Python 3.6.6
2、在官网:sqlmap: automatic SQL injection and database takeover tool,下载sqlmap安装包,选择任意一种格式均可
3、解压sqlmap,并将解压的文件复制到Python安装路径下
演示的Python安装目录在:D:\Python36
4、在桌面创建一个cmd的快捷方式,并命名为sqlmap
5、在快捷方式sqlmap上鼠标右键,选择“属性”,把起始位置修改为sqlmap所在路径后,点击“确定”按钮
6、双击快捷方式sqlmap,并输入:sqlmap.py -h
这样,sqlmap就安装成功了。