sqlmap

sqlmap(automatic SQL injection and database takeover tool)은 공개 모의침투 도구로 SQL구문삽입(SQL Injection) 취약점을 탐지/진단하고 데이터베이스에 직간접적으로 접근할 수 있는 취약점 분석 도구이다.

SQL 구문삽입 공격은 DB 구조 파악이 가장 힘든 작업인데, 수작업으로 진행하기에는 매우 많은 시간이 걸린다. sqlmap은 DB 구조파악, 테이블 내용 유출 등을 자동화해주기 떄문에 웹취약점에 대한 수동분석 과정에서 상당히 많은 시간을 절약할 수 있게 도와주는 매우 훌륭한 프로그램이다.

 

 

설치

apt-get install sqlmap -y

 

도움말

sqlmap -h

 

URL 입력

sqlmap -u "URL"{

쿠키값 입력(필요시)

--cookie="쿠키값"

}{

데이터베이스 목록조회 

--dbs

 

테이블 목록 조회

-D 데이터베이스명 --tables

 

칼럼조회 

-D 데이터베이스명 -T 테이블명 --columns

 

테이블 덤프

-D 데이터베이스명 -T 테이블명 --dump

 

특정 컬럼(login,password) 만 덤프

-D 데이터베이스명 -T 테이블명 -C "login,password" --dump

 

}

 

 

포스트 방식시 data활용