sqlmap，使用方式如其名，就是拿來做SQL Injection 漏洞驗證的。
我們一樣要以目標授權給我們做滲透測試之後，小心驗證我們的弱點。
使用前請參考：[Day09]絕對領域x道德駭客x刑罰新聞

說明：

是一套可以用來測試 SQL Injection並利用此漏洞的強大工具

支援資料庫：

MySQLOracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB
//來源請參考官方網站

• 判斷可注入的參數
• 判斷可用哪種技術注入
• 識別出攻擊目標的資料庫
• 選擇要讀取哪些數據

(1) 安裝Python 2.7 版本 //我嘗試安裝 3.5 版本無法正常執行

(2) 至sqlmap官網：下載sqlmap
這裡也有提供git方式下載：
git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
//補充：請勿存放在中文路徑下 & 使用於中文網址

(3) 修改環境變數(非必要)
PATH 增加以下內容：;c:\python27(版本)
PATHEXT 增加內容：;.PY;.PYM
//可能會需要重新開機(？

準備好了，我們就來開始選定目標吧！
教學文當然不敢找真的網站玩呀哭哭，我們是做純的！
//只好先找找有沒有網路資源可以當教學了(尋找中)

接下來，指令怎麼下呢？
sqlmap常用參數：
– u : 網址URL
– cookie : 設定cookie or session
– dbs : 取得資料庫
– tables : 取得資料表
– columns : 取得資料表的欄位
– dump : 取的欄位資料
– D : 設定顯示的資料庫
– T : 設定顯示的資料表

範例：

這個就是使用 sqlmap 的新聞啦…
新聞來源：http://www.ithome.com.tw/news/97854
使用說明請參閱官方網站 =v=+