常规选项

译自：General

下面的选项用于设置 sqlmap 的常规参数。

从已存储（.sqlite）文件读取会话

选项：-s

sqlmap 会在专用的输出目录中自动为每一个目标分别建立持久会话 SQLite 文件，该文件会存储用于恢复会话的所有数据。如果用户需要指定会话文件的具体存储位置（例如：将所有目标的会话数据存储在同一个位置），则可以使用这个选项。

记录 HTTP(s) 访问信息到文本文件

选项：-t

这个选项需要一个指定文本文件地址的参数，用于写入 sqlmap 产生的所有 HTTP(s) 流量信息——包括 HTTP(S) 请求和 HTTP(S) 响应。

这个选项主要用于调试——当你向开发人员提供潜在 bug 报告时，可把这个文件一并带上。

为问题预设答案

选项：--answers

如果用户想要自动回答问题，即使使用了 --batch 选项，也可以通过在等号后提供一部分的问题和对应的回答来做到这一点。另外，不同问题的答案可以用分隔符 , 分割。

针对 MySQL 目标的示例：

$ python sqlmap.py -u "http://192.168.22.128/sqlmap/mysql/get_int.php?id=1"--te\
chnique=E --answers="extending=N" --batch
[...]
[xx:xx:56] [INFO] testing for SQL injection on GET parameter 'id'
heuristic (parsing) test showed that the back-end DBMS could be 'MySQL'. Do you want to skip test payloads specific for other DBMSes? [Y/n] Y
[xx:xx:56] [INFO] do you want to include all tests for 'MySQL' extending provide
d level (1) and risk (1)? [Y/n] N
[...]

声明（表明）参数中包含了 Base64 编码的数据

选项：--base64

在目标 Web 应用使用 Base64 编码来存储特定参数数据时（例如：用 Base64 来编码 JSON 字典），用户可以使用选项 --base64 声明，使 sqlmap 能正确地使用参数值进行测试。

使用例子：（注意：Base64('{"id": 1}') == 'eyJpZCI6IDF9'）：

$ python sqlmap.py -u http://192.168.22.128/sqlmap/mysql/get_base64?value=eyJpZC\
I6IDF9 -v 5 --base64=value
[...]
[23:43:35] [INFO] testing 'Boolean-based blind - Parameter replace (original valu
e)'
[23:43:35] [PAYLOAD] KFNFTEVDVCAoQ0FTRSBXSEVOICgzODY1PTUzMTQpIFRIRU4gJ3siaWQiOiAx
fScgRUxTRSAoU0VMRUNUIDUzMTQgVU5JT04gU0VMRUNUIDE5MzIpIEVORCkp
[23:43:35] [TRAFFIC OUT] HTTP request [#11]:
GET /?value=KFNFTEVDVCAoQ0FTRSBXSEVOICgzODY1PTUzMTQpIFRIRU4gJ3siaWQiOiAxfScgRUxTR
SAoU0VMRUNUIDUzMTQgVU5JT04gU0VMRUNUIDE5MzIpIEVORCkp HTTP/1.1
Host: localhost
Cache-control: no-cache
Accept-encoding: gzip,deflate
Accept: */*
User-agent: sqlmap/1.4.4.3#dev (http://sqlmap.org)
Connection: close
[...]

以非交互式模式运行

开关：--batch

当你需要以批处理模式运行 sqlmap，避免任何用户干预 sqlmap 的运行，可以强制使用 --batch 这个开关。这样，当 sqlmap 需要用户输入信息时，都将会以默认参数运行。

二进制内容检索

选项：--binary-fields

为了便于检索存储二进制数值（例如：数据列 password 存储了密码哈希值二进制数据）的数据表字段的内容，可使用 --binary-fields 选项对该数据列进行（额外）适当处理。所有的这些数据域（例如：数据表的列）都将被取出并以十六进制格式展示，便于后续被其他工具（例如：john）处理。

自定义 SQL（盲）注入字符集

选项：--charset

在布尔型盲注（Boolean-based blind）和时间型盲注（Time-based blind）中，用户可以强制使用自定义字符集来加快数据检索过程。例如，在导出消息摘要值（例如：SHA1）时，通过使用（例如）--charset="0123456789abcdef"，预期的请求数比常规运行大约少 30%。

从目标 URL 开始爬取站点

选项：--crawl

sqlmap 可以从给定的目标站点开始收集（抓取）存在潜在漏洞的链接。使用这个选项可以设置爬取的深度（到起始位置的距离），这样 sqlmap 爬取到对应深度就不会继续进行。

针对 MySQL 目标的运行示例：

$ python sqlmap.py -u "http://192.168.21.128/sqlmap/mysql/" --batch --crawl=3
[...]
[xx:xx:53] [INFO] starting crawler
[xx:xx:53] [INFO] searching for links with depth 1
[xx:xx:53] [WARNING] running in a single-thread mode. This could take a while
[xx:xx:53] [INFO] searching for links with depth 2
[xx:xx:54] [INFO] heuristics detected web page charset 'ascii'
[xx:xx:00] [INFO] 42/56 links visited (75%)
[...]

选项：--crawl-exclude

使用这个选项可以通过正则表达式来排除不想抓取的页面。例如，如果你想要跳过所有包含 logout 关键字的链接，你可以使用 --crawl-exclude=logout。

指定 CSV 输出的分隔符

选项：--csv-del

当导出数据到 CSV 格式文件（--dump-format=CSV），数据条目需要使用“分隔符”（默认为 ,）进行划分。如果用户想要覆盖默认分隔符，可以使用这个选项（例如：--csv-del=";")。

DBMS（Database Management System，数据库管理系统）认证凭证

选项：--dbms-cred

某些情况下，用户可能会因为当前 DBMS 用户的权限问题而导致操作失败，这时就可以使用这个选项。在这种情景下，如果用户使用这个选项来 admin 用户凭证，sqlmap 会尝试使用相应的认证信息与“以其他身份运行”机制（例如：Microsoft SQL Server 的 OPENROWSET）来重新运行。

导出数据的格式

选项：--dump-format

当导出数据表数据到输出目录的相应文件时，sqlmap 支持三种不同的数据导出格式：CSV，HTML 和 SQLITE。默认的输出格式是 CSV，每一条数据以 ,（或者使用 --csv-del 指定其他符号）为分隔符逐行存储到文本文件中。如果是使用 HTML 格式，则输出会被存储为 HTML 文件，每行数据会被存储为表格的一行到 HTML 文件中。如果是使用 SQLITE，数据则会被存储到 SQLITE 数据库，原先的数据表会被转换成具有相同名字的 SQLITE 数据表。

强制指定检索数据编码

选项：--encoding

为了对字符数据进行合理的编码，sqlmap 使用从 Web 服务器提供的信息（例如：HTTP 请求头 Content-Type），或是使用第三方库 chardet 进行推导。

尽管如此，有时候还是需要对编码进行指定，特别是当获取的数据包含国际化的非 ASCII 字符时（例如：encoding=GBK）。同时，需要注意的是，如果目标机器数据库存储的数据内容与数据库连接器编码不兼容，则会不可逆转地出现编码信息丢失的情况。

预估完成时间

开关：--eta

sqlmap 支持实时计算并显示获取查询结果的预估时间。如果使用的技术是任意一种 SQL 盲注，则会显示获取输出的时间。

针对 Oracle 目标进行布尔型盲注的例子：

$ python sqlmap.py -u "http://192.168.136.131/sqlmap/oracle/get_int_bool.php?id\
=1" -b --eta

[...]
[hh:mm:01] [INFO] the back-end DBMS is Oracle
[hh:mm:01] [INFO] fetching banner
[hh:mm:01] [INFO] retrieving the length of query output
[hh:mm:01] [INFO] retrieved: 64
17% [========>                                          ] 11/64  ETA 00:19

接着：

100% [===================================================] 64/64
[hh:mm:53] [INFO] retrieved: Oracle Database 10g Enterprise Edition Release 10.2
.0.1.0 - Prod

web application technology: PHP 5.2.6, Apache 2.2.9
back-end DBMS: Oracle
banner:    'Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Prod'

从上面可以看出，sqlmap 会先计算出查询结果的长度，然后预估完成的时间，并显示出完成的百分比及接收到的字符数。

清空会话文件

选项：--flush-session

经过上面的相关描述，相信你已经熟悉了会话文件的相关概念，值得注意的是，你可以通过选项 --flush-session 来清空会话文件内容。这样你可以避免 sqlmap 默认的缓存机制。也可以手动移除相关的会话文件。

解析并测试表单输入域

开关：--forms

例如你需要针对_搜索框_进行 SQL 注入测试，或者你想绕过登录验证（通常是 username 和 password 两个输入框），你可以通过给 sqlmap 传入请求文件（-r），并设置好（--data）相关的提交数据，或者直接让 sqlmap 自动为你完成相关操作。

上面提及的两个实例，及其他 HTML 响应体中出现的 <form> 和 <input> 标签，都可以使用这个开关。

配合存在表单的目标 URL（-u）使用 sqlmap 的 --forms 开关，sqlmap 会自动为你请求对应目标 URL，解析相关的表单，并引导你基于表单输入域（参数）而非提供的目标 URL 进行 SQL 注入测试。

忽略会话文件中的查询结果

开关：--fresh-queries

经过上面的描述，相信你已经熟悉了会话文件的概念，值得注意的是，你可以使用 --fresh-queries 这个开关忽略会话文件中的查询结果。这样你就可以保持某次运行的特定会话文件内容不被修改，从而避免重复尝试及恢复查询结果。

使用 DBMS hex 函数获取数据

开关：--hex

很多情况下，获取非 ASCII 数据都会有特殊要求。其中一个解决方案就是使用 DBMS hex 函数。开启这个开关，数据在被获取之前，会被编码成十六进制格式，并在随后被解码成原先的格式。

针对 PostgreSQL 目标的例子：

$ python sqlmap.py -u "http://192.168.48.130/sqlmap/pgsql/get_int.php?id=1" --b\
anner --hex -v 3 --parse-errors

[...]
[xx:xx:14] [INFO] fetching banner
[xx:xx:14] [PAYLOAD] 1 AND 5849=CAST((CHR(58)||CHR(118)||CHR(116)||CHR(106)||CHR
(58))||(ENCODE(CONVERT_TO((COALESCE(CAST(VERSION() AS CHARACTER(10000)),(CHR(32)
))),(CHR(85)||CHR(84)||CHR(70)||CHR(56))),(CHR(72)||CHR(69)||CHR(88))))::text||(
CHR(58)||CHR(110)||CHR(120)||CHR(98)||CHR(58)) AS NUMERIC)
[xx:xx:15] [INFO] parsed error message: 'pg_query() [<a href='function.pg-query'
>function.pg-query</a>]: Query failed: ERROR:  invalid input syntax for type num
eric: ":vtj:506f737467726553514c20382e332e39206f6e20693438362d70632d6c696e75782d
676e752c20636f6d70696c656420627920474343206763632d342e332e7265616c20284465626961
6e2032e332e322d312e312920342e332e32:nxb:" in <b>/var/www/sqlmap/libs/pgsql.inc.p
hp</b> on line <b>35</b>'
[xx:xx:15] [INFO] retrieved: PostgreSQL 8.3.9 on i486-pc-linux-gnu, compiled by GCC gcc-4.3.real (Debian 4.3.2-1.1) 4.3.2
[...]

指定输出目录路径

选项：--output-dir

默认情况下，sqlmap 会将会话和结果文件存储在命名为 output 的子目录中。如果你想要使用不同的存储位置，可以用这个选项（例如：--output-dir=/tmp）。

从响应页面中解析 DBMS 错误信息

开关：--parse-errors

如果 Web 应用配置了调试模式，后端 DBMS 的错误信息会在 HTTP 响应请求中显示，sqlmap 会对其进行解析并展示。

这个特性对调试非常有用，例如可以用来理解为什么特定枚举或接管开关会失效——可能是会话用户出现权限问题，在这种情况下，你可以看到 Access denied for user <SESSION USER>（拒绝用户<会话用户>访问）的 DBMS 错误信息。

针对 Microsoft SQL Server 目标的例子：

$ python sqlmap.py -u "http://192.168.21.129/sqlmap/mssql/iis/get_int.asp?id=1"\
 --parse-errors
[...]
[xx:xx:17] [INFO] ORDER BY technique seems to be usable. This should reduce the timeneeded to find the right number of query columns. Automatically extending th
e rangefor current UNION query injection technique test
[xx:xx:17] [INFO] parsed error message: 'Microsoft OLE DB Provider for ODBC Driv
ers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]The ORDER BY position number 10 i
s out of range of the number of items in the select list.
<b>/sqlmap/mssql/iis/get_int.asp, line 27</b>'
[xx:xx:17] [INFO] parsed error message: 'Microsoft OLE DB Provider for ODBC Driv
ers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]The ORDER BY position number 6 is
 out of range of the number of items in the select list.
<b>/sqlmap/mssql/iis/get_int.asp, line 27</b>'
[xx:xx:17] [INFO] parsed error message: 'Microsoft OLE DB Provider for ODBC Driv
ers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]The ORDER BY position number 4 is
 out of range of the number of items in the select list.
<b>/sqlmap/mssql/iis/get_int.asp, line 27</b>'
[xx:xx:17] [INFO] target URL appears to have 3 columns in query
[...]

前处理（请求）

选项：--preprocess

使用此选项，可在（HTTP）请求数据被发送之前先由给定的前处理脚本处理（如微调请求内容）。例如，追加 query 参数到 POST 请求体的前处理脚本如下：

#!/usr/bin/env python

def preprocess(req):
    if req.data:
        req.data += b'&foo=bar'

后处理（响应）

响应：--postprocess

使用此选项，可在 sqlmap 检测引擎之前先由后处理脚本处理（HTTP）响应数据（如解码数据或删除无用数据）。例如，将所有小写字符转换为大写的后处理脚本如下：

#!/usr/bin/env python

def postprocess(page, headers=None, code=None):
    return page.upper() if page else page, headers, code

保存相关选项到 INI 配置文件

选项：--save

使用此开关可以将命令行上的相关选项保存到 INI 配置文件中。同时可以通过以上描述的 -c 选项对生成的文件进行编辑。

更新 sqlmap

开关：--update

使用此开关，你可以直接从 Git 仓库将该工具升级到最新的开发版本。当然，网络连接必不可少。

当然，如果上面的操作失败，你可以直接在 sqlmap 所在目录运行 git pull。这样的执行效果和使用开关 --update 一样。如果你是在 Windows 上使用 sqlmap，可以使用 SmartGit 客户端。

在向邮件列表反馈任何潜在 bug 之前，强烈建议先尝试上面描述的方法。

上一页访问 Windows 注册表下一页杂项

最后更新于2年前

这有帮助吗？

hashtag从已存储（.sqlite）文件读取会话

hashtag记录 HTTP(s) 访问信息到文本文件

hashtag为问题预设答案

hashtag声明（表明）参数中包含了 Base64 编码的数据

hashtag以非交互式模式运行

hashtag二进制内容检索

hashtag自定义 SQL（盲）注入字符集

hashtag从目标 URL 开始爬取站点

hashtag指定 CSV 输出的分隔符

hashtagDBMS（Database Management System，数据库管理系统）认证凭证

hashtag导出数据的格式

hashtag强制指定检索数据编码

hashtag预估完成时间

hashtag清空会话文件

hashtag解析并测试表单输入域

hashtag忽略会话文件中的查询结果

hashtag使用 DBMS hex 函数获取数据

hashtag指定输出目录路径

hashtag从响应页面中解析 DBMS 错误信息

hashtag前处理（请求）

hashtag后处理（响应）

hashtag保存相关选项到 INI 配置文件

hashtag更新 sqlmap