python数据攻击工具：python的sql注入工具sqlmap 渗透利器

python数据攻击工具：python的sql注入工具sqlmap 渗透利器1、首先还是先创建虚拟环境，养成好习惯，不要污染系统： 但是git上面更推荐用源码方式， 这就是sql注入了，如果网站有这方面的问题，一般都比较严重，基本你的数据库就完蛋了，所有数据都被盗走。 现在中国的大部分互联网公司，在研发过程中都是请不起专门的安全测试人员的，很多都是让普通的测试肉测，肉测的话其实很考验测试人员构造sql的能力，所以今天的这款工具，来帮助大家完成sql注入的安全测试。 大家可以直接去git 上下载一个安装包 github/sqlmapproject/sqlmap

最近小编在测试网站的安全性，所以调研了很多渗透服务器的工具，今天给大家介绍一下sql注入的工具，来让一些小白也可以体验到攻破服务器的快感，进行一些安全方面的测试。

之前的文章已经给大家讲解过xss工具的使用，今天主要介绍一个sql注入工具，sqlmap，也是一款神器。

首先给大家普及一下sql注入是什么：

所谓SQL注入，就是通过把sql命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．

这就是sql注入了，如果网站有这方面的问题，一般都比较严重，基本你的数据库就完蛋了，所有数据都被盗走。

现在中国的大部分互联网公司，在研发过程中都是请不起专门的安全测试人员的，很多都是让普通的测试肉测，肉测的话其实很考验测试人员构造sql的能力，所以今天的这款工具，来帮助大家完成sql注入的安全测试。

安装：

大家可以直接去git 上下载一个安装包 github/sqlmapproject/sqlmap

但是git上面更推荐用源码方式，

1、首先还是先创建虚拟环境，养成好习惯，不要污染系统：

conda create -n sqlmap python=2.7

注意只支持py2

2、下载源码：

git clone --depth 1 github/sqlmapproject/sqlmap.git sqlmap-dev

源码下载以后就不用安装了，直接 cd sqlmap-dev 就可以看见里面有

其中里面的sqlmap.py 就主程序员文件了，到此就安装完了，很简单！

使用：

1、通过python sqlmap.py -h 可以查看所有的参数帮助信息：

支持的功能很多，这里挑选一些主要的讲一下。

2、对一个url进行sql注入，小编就不拿自己的网站了，爆出个漏洞多丢人，搭个本地的吧。

python sqlmap.py -u "192.168.1.150/products.asp?id=134" --batch

里面会自动检测你数据库的版本，很 准！即使没有漏洞也可以挖到很多网站的内部信息。

3、暴库，可以对一个url链接进行暴库，加上--dbs参数。

python sqlmap.py -u "192.168.1.150/products.asp?id=134" --dbs