sqlmap是一款开源的注入工具,支持几乎所有的数据库,支持get/post/cookie注入,支持错误回显注入/盲注,还有其他多种注入方法。 支持代理,指纹识别技术判断数据库 。而sqm(sqlmapGUI)是一个图形界面,在上面可以快速地组装参数,构造sqlmap命令语句,来调用sqlmap来执行。
sqm的原作者我不了解,而汉化者是ettack,这工具在2012年左右比较流行,这几天我才了解,想在网上找一个下载也麻烦,原本的网址大多失效,最后还得在csdn花10积分下载的,安装运行后觉得还是个蛮不错的工具,只是看那个sqlmqp命令语句只有单行很不爽,还有现在一些网址得经过代理才可以访问,原来程序里面没包括代理这个选项。于是嘛,我花了点时间修改了源码,虽然之前自己鼓捣过一点Tkinter,但修改布局的过程还是蛮苦逼的。
-----------
这是软件运行后的界面:
这是新增的“代理”界面:
---------------
下载地址:http://files.cnblogs.com/files/pcat/sqlmapGUI.zip
(如果有任何问题、意见&建议,欢迎跟我联系)
---------------
安装方法:
只限py2.x版本
1.进入pyttk-0.3-py3k目录,执行如下语句安装ttk模块:
linux: sudo python setup.py install windows: python setup.py install
2.将sqm.pyw和cfg_dir一起复制到sqlmap同一目录下,执行命令
linux: sudo python sqm.pyw windows: python sqm.pyw
(windows的也可以双击打开sqm.pyw运行)
---------------
使用方法:
输入目标url后,然后勾选你所要的各种参数,点击“构造命令语句”即会生成相对应的sqlmap命令语句,再点击“开始”就会打开sqlmap命令窗口来运行。
ps. sqlmap发起的请求会带着sqlmap默认的user-agent,而“构造命令语句”中自动生成的--random-agent参数会随机生成user-agent
---------------
修改版 by pcat
http://pcat.cnblogs.com/
修改如下:
1.增加sqlmap命令语句输入框自动换行和滚动条,方便输入、观察
2.修复以往“枚举”标签下3个输入框的遮挡bug
3.增加“代理”标签
4.其他零散的
最后,补充上sqlmap的Usage:
https://github.com/sqlmapproject/sqlmap/wiki/Usage