Sqlmap中文使用手册 - 各个参数介绍（持续更新）

1. 指定输出级别
2. 指定目标
- 2.1 直接连接数据库
- 2.2 指定目标URL
- 2.3 从代理日志中解析目标
- 2.4 从远程站点地图文件(.xml)中解析目标
- 2.5 从文本中解析目标
- 2.6 从文件加载HTTP请求
- 2.7 将google搜索结果作为攻击目标
- 2.8 从配置INI文件获取目标
3. 请求
- 3.1 指定HTTP方法
- 3.2 指定HTTP数据
- 3.3 指定参数分割符
- 3.4 指定cookie
- 3.5 指定HTTP User-Agent
- 3.6 指定HTTP Host
- 3.7 指定HTTP Referer
- 3.8 指定额外字段
- 3.9 HTTP协议认证
- 3.10 HTTP协议私钥认证
- 3.11 忽略401错误（未授权）
- 3.12 使用HTTP(S)代理
- 3.13 Tor匿名网络
- 3.14 设定每个HTTP请求之间的延迟
- 3.15 设置超时时间
- 3.16 连接超时后的最大重试次数
- 3.17 随机更改参数
- 3.18 用正则表达式过滤代理日志中的目标
- 3.19 避免过多错误请求而被屏蔽
- 3.20 关闭参数值的URL编码
- 3.21 绕过CSRF防护
- 3.22 强制使用SSL/HTTPS
- 3.23 在每次请求前执行特定的python代码
4. 优化
- 4.1 预测输出
- 4.2 HTTP长连接
- 4.3 HTTP空连接
- 4.4 HTTP并发
- 4.5 一键优化
5. 注入
- 5.1 指定测试参数
- 5.2 指定数据库管理系统
- 5.3 指定数据库管理系统的操作系统
- 5.4 强制使用大数生成无效参数
- 5.5 强制使用逻辑操作生成无效参数
- 5.6 强制使用随机字符串生成无效参数
- 5.7 关闭payload转换
- 5.8 定制payload
- 5.9 指定注入数据
6. 检测
- 6.1 检测级别
- 6.2 风险级别
- 6.3 页面对比
7. 技术
- 7.1 SQL注入测试技术
- 7.2 指定基于时间盲注的延迟时间
- 7.3 指定联合查询注入中的列数
- 7.4 指定联合查询注入的字符
- 7.5 指定联合查询注入的表名
- 7.6 DNS漏洞攻击
- 7.7 二阶攻击
- 7.8 指纹

1. 指定输出级别

参数：-v

值：

值	作用
0	只显示Python回源（tracebacks），错误（error）和关键（criticle)信息。
1	同时显示信息(info)和警告信息（warning)（默认为1）
2	同时显示调试信息（debug）
3	同时显示注入的有效载荷（payloads）
4	同时显示http请求
5	同时显示http响应头
6	同时显示http响应内容

使用：默认为1，一般用3即可。

2. 指定目标

2.1 直接连接数据库

参数：-d

背景：针对单个数据库实例，可以用以下两种方式连接。

分类	命令
数据库是MySQL，Oracle，Microsoft SQL Server，PostgreSQL等时	DBMS://USER:PASSWORD@DBMS_IP:DBMS_PORT/DATABASE_NAME
数据库是SQLite，Microsoft Access，Firebird等时	DBMS://DATABASE_FILEPATH

使用：

用root用户（密码为root)连接本地mysql上面的数据库testdb：
sqlmap -d "mysql://root:root@127.0.0.1:3306/testdb"

2.2 指定目标URL

参数：-u 或者 —url

背景：直接对单个网站进行注入检测。

值：https://www.xxx.com:9999/index.html

使用：sqlmap -u "http://www.target.com/vuln.php?id=1"

2.3 从代理日志中解析目标

参数：-l（小写L）

背景：指定一个Burp或WebScarab的代理日志文件，Sqlmap将从日志文件中解析出可能的攻击目标，并逐个尝试进行注入。

值：表示日志文件的路径。

2.4 从远程站点地图文件(.xml)中解析目标

参数：-x

背景：为了提高收录或者方便rss订阅，很多站点都有站点地图。Sqlmap可以直接解析xml格式的站点地图。

值：站点的xml链接。

使用：sqlmap -x http://www.target.com/sitemap.xml

2.5 从文本中解析目标

参数：-m

背景：提供URL列表文件，sqlmap将逐一扫描每个URL。

值：URL列表文件路径。

使用：sqlmap -m url.txt

2.6 从文件加载HTTP请求

参数：-r

背景：可以将一个HTTP请求保存在文件中，然后使用参数“-r”加载该文件，这样，你可以跳过其他一些选项的使用（例如设置Cookie，发布数据等），以该文件中HTTP请求目标为攻击目标进行测试。

值：http请求的文件。

使用：sqlmap -r get.txt

2.7 将google搜索结果作为攻击目标

参数：-g

背景：将google搜索的前一百条结果作为目标进行检测，需要科学上网。

值：google hack语句

使用：sqlmap -g "inurl:\".php?id=1\""

2.8 从配置INI文件获取目标

参数：-c

背景：从配置INI文件获取目标。例如sqlmap下载目录下面的文件sqlmap.conf，该配置文件可以指定目标地址，代理等各种参数，看一下配置模板文件即可理解。

值：配置文件。

使用：sqlmap -c a.conf

3. 请求

指定http请求的相关参数。

3.1 指定HTTP方法

参数：–method=

背景：一般情况下，会自动检测请求的方法。在某些特定的情况下需要强制指定方法。

值：方法

使用：sqlmap -u “https://www.baidu.com/a.php?id=1” --method=put

3.2 指定HTTP数据

参数：–data=

背景：默认情况下，用于执行HTTP请求的方法是GET，但是当我们使用data参数，则HTTP会使用post方法将参数当作HTTP data提交，同时也会检测此参数有没有注入漏洞。

值：post提交的数据

使用：sqlmap -u "http://www.target.com/vuln.php" --data="id=1"

3.3 指定参数分割符

参数：–param-del=

背景：一般情况下，网站会用&作为参数的分隔符，这也是SQLMAP默认使用的分隔符，如果有些web application不使用&作为分隔符的话，那么就使用–param-del去告诉sqlmap分隔符是什么。

使用：sqlmap -u “http://www.xxxxx.com/a.php?id=1;food=2” --param-del=”;”

3.4 指定cookie

背景：

指定cookie可以用于两种情况：
- web应用程序需要基于cookie的身份认证，并且你含有cookie
- 你想要检测并利用cookie注入。（当–level设置为2或者更高的时候，sqlmap会检测cookie是否存在注入漏洞。）
cookie的字符分隔通常是分号。

参数：

参数	作用
–cookie	指定cookie的内容
–cookie-del	指定cookie的分隔符
–load-cookies	也可以把cookie保存在Netscape / wget格式的文件中，通过此参数来调用
–drop-set-cookie	如果在通信过程中的任何时候，Web应用程序都会响应Set-cookie标题，则sqlmap会自动使用其他的HTTP请求中的值作为cookie，使用此参数sqlmap将会忽略使用cookie。

3.5 指定HTTP User-Agent

参数：

参数	作用
–user-agent	自定义User-Agent
–random-agent	从sqlmap自带的文本文件中随机选择一个user-agent。这个文件是 ./txt/user-agents.txt

背景：默认情况下，sqlmap使用的User-Agent是sqlmap/1.0-dev-xxxxxxx (http://sqlmap.org) 。（当 --level设置为3或者更高时，sqlmap会自动检测user-agent是否存在注入漏洞）

3.6 指定HTTP Host

参数：–host

背景：默认情况下，HTTP Host是从提供的目标URL中分析的，也可以手动设置Host。（当–level设置为5，则会对HTTP Host进行SQL注入测试）

3.7 指定HTTP Referer

参数：–referer

背景：默认情况下，没有HTTP Referer报头在HTTP请求发送。但是可以伪造HTTP Referer标头值。（当–level设置为3或者更高时，则会对HTTP Referer进行注入测试）

3.8 指定额外字段

参数：–headers

使用：sqlmap -u “http://www.xxx.com/a.php?id=1” --headers=”X-A : A \nX-B : B”

背景：可以在sqlmap发送的HTTP请求报文头部添加额外的字段。若添加多个字段，用”\n”分隔。

3.9 HTTP协议认证

参数：

参数	说明
–auth-type	用于指定认证方式。认证方式有三种：Basic，Digest，NTLM。
–auth-cred	用于给出身份认证的凭证。格式：username:password

背景：用于进行http协议认证。

使用：sqlmap -u “http://www.xxxxx.com/a.php?id=1” --auth-type Basic --auth-cred “admin:admin”

3.10 HTTP协议私钥认证

参数：–auth

背景：当Web服务器需要客户端证书和用于身份验证的私钥时，应使用此选项。提供的值应该是PEM格式的key_file，包含你的证书和私钥。

3.11 忽略401错误（未授权）

参数：–ignor-401

背景：如果你在测试返回401错误的站点时想忽略它并继续测试，则可以使用开关--ignore-401，这是个开关参数，后面不需要加其他的数据。

3.12 使用HTTP(S)代理

参数：

参数	作用
–proxy	设置代理，格式为：http://url:port
–proxy-cred	当http(s)需要认证时，可以使用这个参数来提供凭证，格式：username:password
–proxy-file	指定一个包含有代理列表的文件，在连接时，会依次使用文件里面的代理，当代理无效时，会自动调到下一个代理
–ignor-proxy	忽略代理设置

3.13 Tor匿名网络

背景：如果需要匿名，除了通过定义HTTP(S)代理服务器，还可以安装类似Privoxy这样的软件按照Tor的安装指导配置一个Tor客户端。

参数：

参数	作用
–tor	设置好Tor客户端后，使用这个参数让sqlmap自动设置使用Tor代理。
–tor-type	自定义代理的类型。
–to-port	自定义代理的端口。
–check-tor	使用这个开关，可以保证所有的配置都正确，sqlmap会检查是否一切数据都走的匿名代理，如果检查失败，sqlmap会警告你并退出。

3.14 设定每个HTTP请求之间的延迟

参数：–delay

背景：默认情况下，不设置延迟。可以指定每个HTTP（S）请求之间等待的秒数。有效值是一个浮点数，例如0.5意味着半秒。

3.15 设置超时时间

参数：–timeout

背景：默认的超时时间是30s。可以通过这个参数手动设置超时时间，有效值为一个浮点数，比如10.5意味着十秒半。

3.16 连接超时后的最大重试次数

参数：–retries

背景：连接超时后sqlmap会重试连接，默认情况下，重试次数为3次。使用这个参数可以指定HTTP（S）连接超时时的最大重试次数。

3.17 随机更改参数

参数：–randomize

背景：可以指定请求参数名称，这些参数在请求期间根据原始长度和类型随机更改。

3.18 用正则表达式过滤代理日志中的目标

参数：–scope

背景：指定一个Python正则表达式对代理日志进行过滤，只测试符合正则表达式的目标。

使用：python sqlmap.py -l burp.log --scope="(www)?\.target\.(com|net|org)"

3.19 避免过多错误请求而被屏蔽

背景：有时服务器检测到某个客户端错误请求过多会对其进行屏蔽，而Sqlmap的盲注测试会产生大量错误请求。为了避免被限制，我们可以每隔一段时间来访问正确的url。使用以下参数，sqlmap将会每隔一段时间访问一个正确的URL，并且不会对其进行任何注入。

参数：

参数	作用
–safe-url	隔段时间就访问一下正确的URL
–safe-post	访问正确URL时携带的POST数据
–safe-req	从文件中载入安全HTTP请求
–safe-freq	每次测试请求之后都会访问一下安全的URL

3.20 关闭参数值的URL编码

参数：–skip-urlencode

背景：默认情况下sqlmap会对参数进行编码。但是又的服务端只接受未编码的参数，这时候可以使用这个参数来停止sqlmap的自动编码。

3.21 绕过CSRF防护

背景：现在有很多网站通过在表单中添加值为随机生成的token的隐藏字段来防止CSRF攻击。SqlMap的会自动尝试识别并绕过这种保护。

参数：

参数	作用
–csrf-token	可用于指定隐藏字段名称。这对于网站使用非标准名称的情况很有用。
–csrf-url	用于从任意的URL中回收token值。若最初有漏洞的目标URL中没有包含token值，而在其他地址包含token值时该参数就很有用。

3.22 强制使用SSL/HTTPS

参数：–force-ssl

背景：如果用户想强制对目标使用SSL/HTTPS请求，可以使用这个参数开关。

3.23 在每次请求前执行特定的python代码

参数：–eval

背景：用户想要更改或者添加新的参数值，这些参数值有某些依赖关系。则可以使用这个参数向sqlmap提供一段自定义的python代码，这段代码在每个请求之前都会被执行。
使用：sqlmap -u "http://www.xxx.com/vuln.php?id=1&hash=c4ca4238a0b9238\ 20dcc509a6f75849b" --eval="import hashlib;hash=hashlib.md5(id).hexdigest()" ，每次请求前，Sqlmap都会依据id值重新计算hash值并更新GET请求中的hash值。

4. 优化

4.1 预测输出

参数：–predict-output

作用：开关参数。此参数用于推理算法顺序检索的值的字符统计预测，预测常见的查询输出。此开关与 --threads 开关不兼容。

4.2 HTTP长连接

参数：–keep-alive

作用：开关参数。此开关可以让sqlmap使用HTTP(S)持久连接。此开关与 --proxy 开关不兼容。

4.3 HTTP空连接

参数：–null-connection

背景：开关参数。一些特殊的HTTP请求类型可以用于检索HTTP响应的大小，而不需要获取HTTP主体，这种情况可以在盲注检测中被用来区分true和false。使用此开关参数时，sqlmap将尝试测试并利用两种不同的NULL连接技术：Range和Head，如果目标服务器支持其中任何一项，则将明显节省使用的带宽。此开关与 --text-only 开关不兼容。

4.4 HTTP并发

参数：–threads

作用：可以指定sqlmap执行的并发HTTP(S)请求的最大数量，类似于多线程的原理。处于性能和站点可靠性的原因，并发请求数最大设置为10。此参数与 – predict-output 开关不兼容

4.5 一键优化

参数：-o

作用：开关参数。打开此开关时，会自动打开：–keep-alive，–null-connection，–threads=3（如果没有设置为更高的值）。

5. 注入

5.1 指定测试参数

背景：默认情况下，sqlmap会测试所有的get和post参数。并且当 --level=2 时，也会测试HTTP Cookie标头的值；当 --level=3 或者大于3 时，sqlmap还会测试 HTTP User-Agent 和 HTTP Referer 的标头值。我们可以通过一些参数手动指定我们希望测试的参数，这时候会忽略 --level 参数。

参数：

参数	作用
-p “id,user,password”	手动指定希望测试的参数，多个参数时用逗号分隔开。例如这里是指定测试GET参数id，user，password。
–skip=”user-agent,referer”	手动指定希望跳过的检测的参数。例如这里是指跳过测试HTTP User-Agent 和 HTTP Referer 的标头值。
–param-exclude=”token	session”
sqlmap -u “http://www.xxx.com/param1/value1*/param2/value2”	注入点位于URI本身内部，用指定URI内部的注入点。对于伪静态网页，例如http://www.xxx.com/param1/value1/param2/value2。默认情况下，sqlmap不会对URI路径执行任何自动测试。当注入点位于URI本身内部时，可以在URI中要注入的点之后附加来指定注入点。比如：http://www.xxx.com/param1/value1*/param2/value2
sqlmap -u “http://targeturl” --cookie=“param1=value1*;param2=value2”	用*指定GET，POST或者HTTP头中的任意注入点。

5.2 指定数据库管理系统

背景：由于一些原因，sqlmap无法检测到后端数据库管理系统（DBMS），或者我们希望避免指纹数据库时，我们可以通过 --dbms 参数自己提供后端数据库管理系统的名称。只有在很确定是什么dbms的时候，才会这样做，否则还是让sqlmap自行检测。

参数：

参数	作用
–dbms postgresql	自己提供后端数据库管理系统的名称是postgresql
–dbms MySQL
–dbms Microsoft SQL Server	对于 MySQL 和 SQL Server 数据库，还需要提供版本

5.3 指定数据库管理系统的操作系统

背景：默认情况下，sqlmap会自动检测运行数据库管理系统的操作系统，目前完全支持的操作系统有Linux和Windows。如果已经确定是什么操作系统，则可以强制指定操作系统名称，否则还是让sqlmap自行检测。

参数：–os

5.4 强制使用大数生成无效参数

背景：当sqlmap需要使原始参数值无效的情况下，sqlmap会取已有参数（如：id=10）的相反数（id=-10）作为无效参数。使用这个参数，可以强制使用大整数（如：id=999999）来实现相同的目标。

参数：–invalid-bignum

5.5 强制使用逻辑操作生成无效参数

背景：当sqlmap需要使原始参数值无效的情况下，sqlmap会取已有参数（如：id=10）的相反数（id=-10）作为无效参数。使用这个参数，可以强制使用布尔操作（如：id=10 AND 18=19）来实现相同的目标。

参数：–invalid-logical

5.6 强制使用随机字符串生成无效参数

背景：当sqlmap需要使原始参数值无效的情况下，sqlmap会取已有参数（如：id=10）的相反数（id=-10）作为无效参数。使用这个参数，可以强制使用随机字符串操作（如：id=asdfg）来实现相同的目标。

参数：–invalid-string

5.7 关闭payload转换

背景：如果sqlmap需要在payload（例如：SELECT ‘foobar’）内使用单引号分隔字符串值，那么这些值将自动被转义（例如：SELECT CHAR(102)+CHAR(111)+CHAR(111)+CHAR(98)+CHAR(97)+CHAR(114)），这可以混淆payload还能避免一些后台查询转义机制的问题（例如magic_quotes或mysql_real_escape_string）。

参数：–no-escape，用户可以使用此开关将其关闭，比如为了减少payload的长度。

5.8 定制payload

参数：–prefix（指定payload前缀），–sufix（指定payload后缀）。

背景：有时只有在 payload 后添加用户指定的后缀才能注入成功。另一种场景是用户已经知道查询语句怎么写的，此时可以直接指定 payload 的前缀和后缀来完成检测和注入。在简单的测试环境下 SQLMap 不需要被提供定制的边界范围就能够自动检测并完成注入，但在真实世界中某些应用可能会很复杂如嵌套JOIN查询，此时就需要为 SQLMap 指明边界范围。

使用：

假设我们已经知道源码为：
$query = "SELECT * FROM users WHERE id=('" . $_GET['id'] . "') LIMIT 0, 1";

上面这句的意思是查询指定id。对于这种情况，我们可以让sqlmap自动检测边界范围，也可以手动指出边界范围。手动指出边界范围的话，就可以执行下面的语句：

sqlmap -u "http://xxx.com/sqlmap/mysql/get_str_brackets.php\ ?id=1" -p id --prefix "')" --suffix "AND ('abc'='abc"

这时，最终的源码会变成：
$query = "SELECT * FROM users WHERE id=('1') <PAYLOAD> AND ('abc'='abc') LIMIT 0, 1";

这样查询的语法可以正确的执行，payload也可以正常执行.

5.9 指定注入数据

参数：–tamper

值：逗号分隔的脚本列表，sqlmap在 tamper/ 目录下有许多可用的tamper脚本。tamper脚本的作用是对payload进行混淆。

背景：sqlmap只会对CHAR()字符串进行混淆，对其他的payload不会进行任何混淆。当我们需要绕过IPS或者web应用程序防火墙(WAF)时，可以使用这个选项。

使用：--tamper=”between,randomcase”

6. 检测

Detection:
    These options can be used to customize the detection phase

    --level=LEVEL       Level of tests to perform (1-5, default 1)
    --risk=RISK         Risk of tests to perform (1-3, default 1)
    --string=STRING     String to match when query is evaluated to True
    --not-string=NOT..  String to match when query is evaluated to False
    --regexp=REGEXP     Regexp to match when query is evaluated to True
    --code=CODE         HTTP code to match when query is evaluated to True
    --smart             Perform thorough tests only if positive heuristic(s)
    --text-only         Compare pages based only on the textual content
    --titles            Compare pages based only on their titles

6.1 检测级别

参数：–level=LEVEL

背景：Level of tests to perform (1-5, default 1)。该参数用来指定要执行的测试级别。有1-5五个级别，默认级别为1，级别越高将对更多的payload和边界进行测试。此选项不仅会影响payload，还会影响注入点。

sqlmap使用的payload在xml/payloads.xml文件中指定，如果sqlmap错过了一次注入，也可以添加自己的payload来进行测试。

值：任何级别都会测试GET和POST参数。

值	作用
–level=1	默认为1
–level=2	大于等于级别2时测试HTTP Cookie标头值
–level=3	大于等于3级时测试HTTP User-Agent / Referer头的值
–level=4
–level=5	检测 HOST 头。5级包含的payload最多，会自动破解出cookie、XFF等头部注入，相对应他的速度也比较慢。

检测SQL注入越困难，–level必须设置的越高，建议在无法检测到某个注入点时将此值提高。

6.2 风险级别

参数：–risk=RISK

作用：Risk of tests to perform (1-3, default 1)。该参数用于指定测试执行的风险，有三个风险值。

值：

值	作用
1	默认值是1，这对大多数SQL注入点无害。
2	风险值2添加了大量基于时间盲注的检测。
3	风险值3增加了基于OR的盲注测试。

6.3 页面对比

背景：默认情况下，sqlmap判断true还是false的方法是比较注入的请求页面内容与原始未注入页面内容。但是这个方法并不总是有效，因为有的页面只要刷新就会发生变化，即使你没有注入任何payload，比如页面中含有动态广告。遇到这样的情况，slqmap会尽力判断响应体的片段并处理。但是sqlmap有时并不能正确处理。

参数：

参数	作用
–string=STRING	String to match when query is evaluated to True。使用该参数参数提供一个字符串，该字符串存在于ture页面中,而不在false页面中。
–not-string=NOT	String to match when query is evaluated to False。使用该参数可以指定一个字符串，该字符串只存在于false页面中。
–regexp=REGEXP	Regexp to match when query is evaluated to True。使用该参数指定一个正则表达式而不是字符串。
–code=CODE	HTTP code to match when query is evaluated to True。如果知道ture和false的http状态码不同，还可以使用该参数指定一个状态码。
–titles	Compare pages based only on their titles。如果知道ture和false的页面标题存在不同，还可以使用该参数指定一个title。

7. 技术

Techniques:
    These options can be used to tweak testing of specific SQL injection
    techniques

    --technique=TECH..  SQL injection techniques to use (default "BEUSTQ")
    --time-sec=TIMESEC  Seconds to delay the DBMS response (default 5)
    --union-cols=UCOLS  Range of columns to test for UNION query SQL injection
    --union-char=UCHAR  Character to use for bruteforcing number of columns
    --union-from=UFROM  Table to use in FROM part of UNION query SQL injection
    --union-values=U..  Column values to use for UNION query SQL injection
    --dns-domain=DNS..  Domain name used for DNS exfiltration attack
    --second-url=SEC..  Resulting page URL searched for second-order response
    --second-req=SEC..  Load second-order HTTP request from file

7.1 SQL注入测试技术

参数：–technique=TECH

背景：默认情况下，sqlmap会尝试所有类型的注入。使用该参数可以指定sql注入测试技术，参数后面跟一个大写字母，有B，E，U，S，T和Q，每个字母代表一种注入技术。

值：

参数	作用
B	Boolean-based blind，基于bool的盲注
E	Error-based，基于报错的注入
U	Union query-based，联合查询注入
S	Stacked queries，堆查询注入
T	Time-based blind，基于时间的盲注
Q	Inline queries，嵌套查询注入

使用：如果想要仅基于报错注入和堆栈的查询注入，可以指定–technique SE

注意：当想要访问文件系统，控制操作系统或访问windows注册表时，注入技术必须包含堆查询注入，即-S。

7.2 指定基于时间盲注的延迟时间

参数：–time-sec

值：一个整数，默认情况是5秒。

作用：在测试基于时间的盲注时，可以设置延迟响应的秒数。

7.3 指定联合查询注入中的列数

背景：默认情况下，sqlmap会针对使用1到10列的UNION查询技术进行测试。但是，通过提供更高的–level值，该范围可以增加到50列。

参数：–union-cols

值：整数

使用：跟整数范围来指定测试的列范围。例如，12-16意味着使用12到16列的UNION查询注入技术。

7.4 指定联合查询注入的字符

背景：默认情况下，sqlmap在UNION联合查询注入中使用的是NULL字符，指定更高的level值，sqlmap将使用随机数执行测试，因为在某些情况下使用NULL字符测试失败，而使用随机整数成功。

参数：–union-char

值：告诉sqlmap使用的字符

使用：

例如一个union联合查询的payload是

Payload: type_id=129 UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x717a7a7171,0x637a73474b77574b4b76556274626c5051726a556d674368716948575979417750496867686b4562,0x7170767871),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- bnBy

当我们指定–union-char’001’,payloadj就会变成

Payload: type_id=129 UNION ALL SELECT 001,001,001,001,CONCAT(0x717a7a7171,0x637a73474b77574b

7.5 指定联合查询注入的表名

参数：–union-from

背景：在一些联合查询注入中，需要在FROM字段提供有效的表名（例如–union-from=users），例如，Microsoft Access就需要使用这种表格。如果不提供，SQL注入将无法正确执行。

值：表名

7.6 DNS漏洞攻击

参数：–dns-domain

背景：如果用户控制了目标url的DNS服务器（例如 attacker.com），则可以使用此选项（例如–dns-domain attacker.com）启用此攻击。它工作的先决条件是运行带有Administrator权限的sqlmap （使用特权端口53），这样做的唯一目的就是加速数据检索过程。

7.7 二阶攻击

参数：–second-order

背景：二阶攻击一般发生于一个易攻击页面中的有效payload的在另一个页面上显示。通常发生这种情况的原因是数据库存储用户在原页面上提供的输入。

值：URL地址

7.8 指纹

参数：开关， -f或–fingerprint

背景：默认情况下，sqlmap会自动指纹数据库。如果你想要执行更广泛的数据库指纹识别可以使用该参数，sqlmap会执行更多的请求，来确定更精确的DBMS版本以及操作系统，体系结构和补丁级别指纹。