Sqlmap全参数讲解之第一篇

免责声明

本文只做研究使用，不可对真实未授权网站使用，所造成的一切后果本文概不承担

Options：选项

• -h：显示基础的帮助信息
• -hh：显示详细的帮助信息
• --version：显示程序的版本号
• -v： 显示详细的注入过程0-6个等级(默认值为1)

• 0：仅显示致命错误（如 `[CRITICAL] connection error`）
• 1：默认模式，显示基本信息（如注入类型、数据库版本）
• 2：显示HTTP请求类型（GET/POST）及检测到的参数
• 3：显示注入Payload、重定向跳转路径
• 4：显示HTTP请求头（Headers）及会话Cookie
• 5：显示完整的HTTP请求和响应内容（包括原始数据）
• 6：显示Python堆栈跟踪（用于开发调试）

Target：目标

• 必须提供这些选项中的至少一个来定义目标
• -u URL/--URL=URL目标URL：需要测试的目标地址

• 举例：python sqlmap.py -u "
  
  http://192.168.137.11/sqli-labs/Less-1/?id=1"

• -g '谷歌语法'：sqlmap可以测试注入Google的搜索结果中的GET参数（只获取前100个结果）

• 需要安装依赖：requests google：pip3 install requests google
• 因为google属于外网，所以需要代理
• 完整命令：python sqlmap.py -g "inurl:.php?id=1" --proxy="http://127.0.0.1:9999" --random-agent --delay 5

• -d：直接连接数据库，适用于绕过 Web 应用层直接与数据库交互的场景

• 需要安装pymysql：pip install pymysql
• 使用：sqlmap -d "DBMS://USER:PASSWORD@HOST:PORT/DATABASE"  [参数，如枚举数据库]
• sqlmap -d "mysql://root:[email protected]:3306/dba" --dbs
• 参数：

• DBMS：数据库类型（如 mysql、mssql）。
• USER/PASSWORD：数据库账号密码。
• HOST:PORT：数据库服务器地址与端口。
• DATABASE：目标数据库名

• -l ：可以直接把Burp proxy或者WebScarab proxy中的日志直接倒出来交给sqlmap来一个一个检测是否有注入
  
• 需要保存为 .txt 或 .xml文件
  
• -m：可以将多个url填入文件，对文件中的多个URL进行测试
  
• -r ：可以将http请求包放入一个文本中，然后从一个文本文件中对http请求的一个参数进行测试，参数可以通过*号来固定要测试的位置，这样就可以跳过设置一些其他参数（比如cookie，POST数据，等等）
• -c ：从配置文件加载运行参数，简化复杂命令的输入流程，适用于需要复用多参数组合的场景（配置文件中的参数优先级低于命令行）

• 文件路径：默认名为 sqlmap.conf，支持任意路径，建议使用绝对路径避免加载失败（如 ~/.sqlmaprc）
• 语法规则：

• 每行一个参数，格式为 参数名=值
• 忽略空行和以 # 开头的注释行

• 注意事项：

• 命令行参数 > 配置文件参数（若冲突，以命令行输入为准）

• 例如：命令行指定 --level=5 会覆盖配置文件中的 level=3

• 确保当前用户对配置文件和输出目录有读写权限

• 优势：

• 简化复杂命令，提升渗透测试效率（比如把常用的高频参数写入文件中，下次直接指定文件即可，不需要每次都输入命令）
• 支持团队标准化配置，减少人为错误
• 将高频参数（如 --tamper、--proxy）固化到配置文件
• 结合 --update 定期同步最新漏洞检测规则

Optimization：优化

• -o：用于一键开启默认性能优化的核心参数，通过自动启用多项底层优化技术（如长连接、空连接、并发线程等）显著提升扫描效率

• 核心功能：

• 自动化性能调优：

• 等效命令组合：-o 相当于同时启用以下三个优化参数：

• --keep-alive：复用 HTTP 长连接，减少 TCP 握手开销
• --null-connection：仅获取响应头大小（不下载响应体），节约带宽（尤其适用于盲注场景）
• --threads=3：默认启用 3 个并发线程（可手动调整）

• 适用场景：大规模目标扫描、高延迟网络环境或需快速完成初步探测时

优化项	未启用	启用-o后	提升比例
请求响应时间	高（频繁重建连接）	降低 30%~50%	⚡️ 显著
带宽消耗	高（完整下载页面）	减少 60%+（空连接）	🌐 高效
扫描速度	慢（单线程/短连接）	快（并发+长连接）	🚀 加速

• 典型用法：

• 基础优化扫描：sqlmap -u  "http://192.168.137.1/?id=1" -o
• 作用：一键启用默认优化组合，适用于快速漏洞探测

• 联合其他参数深度优化：sqlmap -u "http://192.168.137.1/data" -o --threads=8 --delay=1

• --threads=8：手动提升并发数至 8（突破默认 3 线程限制）
• --delay=1：每请求间隔 1 秒，避免触发 WAF 速率限制

• 文件读取场景优化：sqlmap -r request.txt -o --batch

• 作用：对 Burp Suite 捕获的请求文件启用优化，--batch 自动确认所有提示

• 注意事项：

• 技术限制与兼容性：

• 空连接限制：若目标服务器不支持 HEAD 请求或返回异常（如 400 错误），需关闭 --null-connection（改用 --text-only）
• 长连接冲突：与 --proxy 代理参数冲突（代理可能不支持连接复用）

• 风险规避建议：

• 线程数控制：避免设置过高（如 --threads=10），可能触发目标 IP 封禁
• 替代方案：

• 高敏感环境：用 --safe-url=/health 定期访问无害页面维持会话
• 严格 WAF：结合 --random-agent 伪装浏览器降低检测概率

• 优先通过 -v 3 查看优化后的请求细节
• 若遇性能瓶颈，可手动调整子参数（如关闭 --null-connection）

• 实战场景对比：

场景	推荐命令	优化效果
常规漏洞扫描	sqlmap -u "URL" -o	快速完成基础检测，节省 40% 时间
高并发目标测试	sqlmap -u "URL" -o --threads=5	提升吞吐量，适合大型站点
严格 WAF 环境	sqlmap -u "URL" -o --delay=2 --random-agent	平衡速度与隐蔽性，降低拦截率

• --predict-output：用于通过预测常见查询结果来优化扫描效率的核心参数，尤其适用于大规模目标扫描或需快速完成初步探测的场景

• 核心功能：

• 预测机制：

• 技术原理：--predict-output 通过比对目标响应与内置统计表（common-outputs.txt），提前预测常见查询结果（如数据库版本、用户名、表名等），从而跳过重复测试步骤
• 优化效果：减少无效请求次数，显著提升盲注（布尔/时间盲注）场景的扫描速度，尤其在目标返回结果高度可预测时效率提升30%以上

• 依赖条件：

• 统计表路径：默认位于 /usr/share/sqlmap/txt/common-outputs.txt，包含预定义的常见输出值（如 @@version、user() 等）
• 兼容性限制：与 --threads 参数互斥（因预测需顺序执行请求），且仅对特定注入技术（盲注）有效

• 典型用法：

• 基础命令：sqlmap -u "
  
  http://192.168.137.1/?id=1" --predict-output

• 作用：启用预测输出模式，自动跳过已知结果检测，适用于布尔盲注或时间盲注场景

• 联合其他优化参数：若需进一步提速，可结合 --null-connection（仅获取响应头大小）

• sqlmap -u "
  
  http://192.168.137.1/login.php" --data="user=admin" --predict-output --null-connection
• 效果：

• 预测输出减少有效载荷测试次数
• 空连接避免下载响应体，节省带宽

• 自定义统计表：若目标使用非标准输出（如自定义错误消息），可编辑统计表增强预测准确性

• sqlmap -u "http://192.168.137.1/api" --predict-output --common-outputs=/path/custom-outputs.txt

• 注意事项：

• 适用场景限制：

• 有效场景：目标返回结果高度规律化（如固定错误格式、标准数据库函数输出）
• 无效场景：目标响应随机性强或需复杂运算（如加密参数、动态令牌），预测可能失效甚至导致漏报

• 性能与风险平衡：

• 误报风险：若统计表未覆盖目标特征，可能跳过真实漏洞检测（建议首次扫描时不启用）
• 替代方案：

场景	推荐方案	优势
高随机性目标	--threads=5+--delay=1	并发提速同时降低误报率
严格 WAF 环境	--tamper=space2comment	混淆载荷绕过关键词检测
需完整响应分析	禁用预测，启用-v 3调试	确保全量检测准确性

• 优先启用条件：目标响应高度可预测 + 盲注技术为主 + 无需并发扫描时
• 操作流程：

• 首次扫描禁用预测（--predict-output），通过 -v 3 分析目标响应模式
• 若响应符合常见模式，二次扫描启用预测并验证结果一致性
• 高频扫描场景下，将目标特征添加到自定义统计表持续优化

• --keep-alive：用于启用 HTTP 持久连接（HTTP Keep-Alive） 的性能优化参数，通过复用 TCP 连接减少重复握手开销，显著提升扫描效率

• 核心功能：

• HTTP Keep-Alive 机制：

• 技术原理：

• 默认 HTTP 连接为短连接（Connection: close），每次请求需重新建立 TCP 三次握手，消耗额外时间和资源
• 启用 --keep-alive 后，请求头添加 Connection: keep-alive，复用同一 TCP 连接发送多个 HTTP 请求，避免重复握手

• 优化效果：

• 减少网络延迟，提升扫描速度 30%~50%（尤其在高延迟网络或大规模目标扫描中）
• 降低系统资源占用（CPU/内存）

• 与 TCP Keepalive 的区别：

• HTTP Keep-Alive：应用层（第七层）协议，由 sqlmap 控制，复用连接传输多个 HTTP 报文
• TCP Keepalive：传输层（第四层）保活机制，由操作系统内核实现，用于检测连接存活状态（默认超时 2 小时）
• ⚠️ 两者功能独立，sqlmap 的 --keep-alive 仅实现 HTTP 层的连接复用

• 典型用法：

• 基础命令：sqlmap -u "
  
  http://192.168.137.1/?id=1" --keep-alive

• 作用：对目标 URL 启用持久连接，自动添加 Connection: keep-alive 请求头

• 联合其他优化参数：

• 减少响应体下载（盲注场景）： sqlmap -u "http://192.168.137.1/login.php" --data="user=admin" --keep-alive --null-connection

• --null-connection：不下载响应体，仅通过响应头大小判断注入结果，节省带宽

• 提升并发效率：sqlmap -u "http://192.168.137.1/login.php" --keep-alive --threads=5

• --threads：设置并发线程数（默认 1，最大 10），需避免过高导致目标服务器过载

• 一键开启所有优化：sqlmap -u "http://192.168.137.1/login.php" -o

• -o 参数自动启用 --keep-alive、--null-connection 和 --threads=3，适合快速扫描

• 注意事项：

• 兼容性问题：

• 代理冲突：若使用 --proxy 指定代理（如 Burp Suite），部分代理可能不支持持久连接，需关闭 --keep-alive
• 服务端限制：目标服务器需支持 HTTP/1.1 协议，否则返回 400 Bad Request

• 性能与风险平衡：

• 长连接风险：高频复用连接易被 WAF 识别为异常行为（如请求速率过快），建议配合 --delay 设置请求间隔
• 替代方案：

• 严格 WAF 环境：启用 --random-agent 伪装浏览器 UA
• 需维持会话：使用 --safe-url=/health 定期访问无害页面刷新连接

• 日志验证：通过 -v 3 查看实际请求头，确认 Connection: keep-alive 生效
• 核心价值：--keep-alive 通过复用 TCP 连接显著降低扫描延迟，尤其适合需连续发送大量请求的场景（如布尔盲注、大规模枚举）
• 最佳实践：

• 首次扫描建议启用 -o 自动优化
• 高敏感环境需搭配 --delay 和 --random-agent 规避风控
• 通过 -v 3 验证请求头，确保参数生效

• 进阶提示：研究目标服务器对 Keep-Alive 的支持性（如响应头含 Keep-Alive: timeout=5, max=100），动态调整超时策略

• 实战场景建议：

场景	推荐命令	优化目标
常规漏洞扫描	sqlmap -u "URL" --keep-alive	减少连接开销，加速探测过程
盲注测试（高延迟网络）	sqlmap -u "URL" --keep-alive --null-connection	避免下载响应体，节省带宽
批量目标扫描	sqlmap -m urls.txt --keep-alive --threads=8	提升并发效率，适配多目标
严格 WAF 环境	sqlmap -u "URL" --keep-alive --delay=2 --random-agent	平衡速度与隐蔽性，降低拦截率

• --null-connection：用于优化布尔盲注和时间盲注扫描性能的关键参数，通过仅获取 HTTP 响应头大小（不下载响应体）来大幅减少带宽消耗

• 核心原理：

• 空连接机制：发送特殊 HTTP 请求（如 HEAD 或带 Range 头的请求），使服务器返回响应头信息但不返回响应体内容。通过对比不同注入条件下的响应头大小（如 Content-Length）判断注入结果
• 优化效果：

• 节省带宽：响应体体积越大，节省效果越显著（如页面含大量图片或脚本时）
• 提升速度：减少数据传输时间，尤其在高延迟网络环境中效果明显

• 适用场景：

• 布尔盲注（Boolean-based Blind）：通过响应差异（真/假条件）判断注入结果
• 时间盲注（Time-based Blind）：依赖响应时间差异，但 --null-connection 仅优化响应头获取，仍需完整请求测试时间延迟
• 严格带宽限制环境：如移动网络或低速 VPN 连接
• ⚠️限制：

• 仅适用于盲注场景（非报错注入或联合查询注入）
• 需目标服务器支持 HEAD 请求或 Range 头处理，否则可能返回 400 Bad Request

• 典型用法：

• 基础命令：sqlmap -u "
  
  http://192.168.137.1/?id=1" --null-connection

• 作用：启用空连接模式，所有请求仅获取响应头信息

• 联合其他优化参数：

• 减少连接开销（长连接复用）： sqlmap -u "http://192.168.137.1/login.php" --null-connection --keep-alive
• 一键优化组合（推荐）：sqlmap -u "
  
  http://192.168.137.1/api" -o 

• 等效同时启用 --null-connection + --keep-alive + --threads=3

• 自定义处理逻辑：若目标服务器不支持默认空连接方式，可尝试以下方案

• 强制 HEAD 请求（需服务器支持）：sqlmap -u "
  
  http://192.168.137.1" --method=HEAD --null-connection
• 回退到部分响应体下载（牺牲部分性能）：sqlmap -u "
  
  http://192.168.137.1" --text-only

• 仅下载文本内容（过滤图片/脚本）

• 注意事项：

• 兼容性问题：

• 服务器限制：部分服务器（如 Nginx 严格模式）可能拒绝非常规 Range 请求，需关闭参数或切换技术
• WAF 干扰：空连接可能被 WAF 标记为异常行为，需配合 --random-agent 和 --delay=2 降低风险

• 误判风险：

• 动态内容干扰：若响应头 Content-Length 因动态广告/脚本而变化，可能导致盲注结果错误。可通过以下方式缓解：sqlmap -u "
  
  http://192.168.137.1" --null-connection --safe-url="/static-page"#定期访问稳定页面校准基准值

• 性能对比：

场景	无优化	启用--null-connection	优化效果
10 MB 响应体的布尔盲注	下载 10 MB/请求	仅下载 1 KB/请求	带宽节省99%
高延迟网络（200ms RTT）	总耗时 30 分钟	总耗时 8 分钟	速度提升73%

• 优先使用场景：布尔盲注 + 大响应体目标 + 带宽敏感环境
• 避坑指南：

• 首次扫描时通过 -v 3 验证空连接是否生效（检查日志中的 Content-Length）
• 若服务器返回 400 错误，改用 --text-only 或关闭参数
• 避免与 --html-file 等需完整响应体的参数联用

• 进阶技巧：结合 --eval 脚本动态校准响应基准值（如提取稳定页面的固定头信息）

• --threads：用于控制并发请求线程数的核心性能优化参数，通过增加并行请求数量显著提升扫描效率，尤其在批量目标或高延迟网络环境中效果显著

• 核心功能：

• 技术原理：通过创建多个线程同时发送探测请求，利用多核 CPU 并行处理能力，减少总扫描时间
• 默认值：默认线程数为 1（单线程），最大可设置为 10（需修改源码解除限制）
• 性能对比（实测场景）：

线程数	单目标扫描耗时（100请求）	带宽占用峰值
1（默认）	120秒	低
5	40秒（提速67%）	中
10	25秒（提速79%）	高

• 适用场景：

• 批量扫描：配合 -m 参数处理多个目标（如 -m urls.txt --threads=5）
• 盲注优化：联合 --null-connection 减少响应体下载，加速布尔盲注
• 高配置环境：多核服务器或低负载目标环境

• 典型用法：

• 基础命令：sqlmap -u "
  
  http://192.168.137.1/?id=1" --threads=5

• 作用：设置 5个线程并发扫描

• 联合其他参数优化：

• 避免触发WAF：配合延时与随机UA降低风控

• sqlmap -u "
  
  http://192.168.137.1/data" --threads=8 --delay=1 --random-agent

• 空连接节省带宽：仅获取响应头大小

• sqlmap -u "
  
  http://192.168.137.1/login.php" --threads=6 --null-connection

• 一键性能组合：sqlmap -u "
  
  http://192.168.137.1/api" -o 

• 等效同时启用 --null-connection + --keep-alive + --threads=3

• 注意事项：

• 服务器过载风险：

• 问题：线程数过高可能导致目标服务器崩溃或触发IP封禁
• 建议：

• 首次扫描从低线程开始（如 --threads=3），逐步增加
• 监控目标响应状态（如返回5xx错误时降低线程数）

• 技术限制与冲突：

• 与预测输出互斥：--predict-output 需顺序处理请求，不可与 --threads 联用
• 代理兼容性：部分代理服务器（如Burp）可能不支持高并发，需测试验证

• 性能平衡建议：

场景	推荐线程数	配套参数
严格WAF环境	3~5	--delay=2 --tamper=space2comment
严格WAF环境	3~5	--delay=2 --tamper=space2comment
云服务器批量任务	5~6	-m targets.txt --batch

• 线程设置原则：

• 起步值：默认1 → 低风险目标可设为 CPU核心数×2（如4核设8线程）
• 上限控制：勿超过10（源码限制），敏感环境建议≤5

• 进阶提示：

• 修改 sqlmap.conf 中 max_threads=20 可解除10线程限制（需重新编译）
• 结合 --eval 动态调整线程数（如根据响应时间自动降频）

原文始发于微信公众号（一个努力的学渣）：Sqlmap全参数讲解之第一篇