-u
get 注入
-r:
万能参数。brup suite 在注入点抓包。将数据包放到文件里。-r后接文件路径。
--level
执行测试的等级(1-5,默认为1。1检测 get、post。级别最低,但检测速度快。),使用–level 参数且数值>=2的时候增减检查cookie里面的参数,当>=3的时候将增加检查User-agent和Referer。最高级别,啥都检测。
--risk
执行测试的风险(0-3,默认为1),默认是1会测试大部分的测试语句,2会增加基于事件的测试语句,3会增加OR语句的SQL注入测试。
-v
显示详细信息。
ERBOSE信息级别: 0-6 (缺省1),其值具体含义:“0”只显示python错误以及严重的信息;1同时显示基本信息和警告信息(默认);“2”同时显示debug信息;“3”同时显示注入的payload;“4”同时显示HTTP请求;“5”同时显示HTTP响应头;“6”同时显示HTTP响应页面;如果想看到sqlmap发送的测试payload最好的等级就是3。
-p
针对某一个参数。.
-batch-smart
智能判断测试 (可破解数据库账号密码)(整个数据库所有的库)
DBA若为true,说明当前为root账号。
完成之后有一份报告存在如下路径。
-threads ads 线程数 默认是10 。
--mobile
模拟测试手机环境站点 (可以伪造user agent头。如果只能用xx访问)
-m:批量注入。
先将要检测的URL放入记事本中,保存在c盘。
然后在sqlmap -m 后接文件路径。 sqlmap会一个一个检测。
--current-da:获取当前数据库。
获取表名:--tables -D 数据库名
字段名:--columns -T 表名 -D 数据库名
数据内容:-T 表名 -C username,password --dump
获得的数据库字段内容会保存在如下的路径中。第一个路径。
