1、概述

sqlmap是一款開源、功能強(qiáng)大的自動化SQL注入工具，支持多種數(shù)據(jù)庫和多種注入方式。在注入的時候，只需輸入幾條命令，便能為你節(jié)約大量的人力、物力、財力。

但很少有人知道，sqlmap提供API，我們可以根據(jù)提供的API開發(fā)一個前端界面。已經(jīng)有大神開發(fā)完成了，他就是 Hood3dRob1n(github.com/Hood3dRob1n…)，他用PHP為sqlmap開發(fā)了一個webui。本教程將教大家在Kali上配置這個工具。

2、配置SQLMAP-Web-GUI

2、1 克隆項目

首先從github克隆項目文件到本地。

# cd /var/www/html/ //切換到 web根目錄 /var/www/html# git clone https://github.com/Hood3dRob1n/SQLMAP-Web-GUI //克隆項目 /var/www/html# cd SQLMAP-Web-GUI/ /var/www/html/SQLMAP-Web-GUI# mv sqlmap .. //移動項目文件到 web根目錄 /var/www/html/SQLMAP-Web-GUI# cd .. /var/www/html# ls index.html index.lighttpd.html index.nginx-debian.html sqlmap SQLMAP-Web-GUI /var/www/html# chmod 777 -R sqlmap/ //更改權(quán)限 復(fù)制代碼

2、2 啟動apache服務(wù)

接下來打開http服務(wù)，如果沒有安裝apache，可以執(zhí)行apt-get install apache2 命令進(jìn)行安裝。

啟動http服務(wù)，命令如下：

# systemctl start apache2 復(fù)制代碼

2、3 啟動sqlmapapi服務(wù)

查找 sqlmapapi.py 文件的位置

# locate sqlmapapi.py /usr/share/golismero/tools/sqlmap/sqlmapapi.py /usr/share/sqlmap/sqlmapapi.py /usr/share/sqlmap/sqlmapapi.pyc 復(fù)制代碼

啟動sqlmapapi：

# python /usr/share/sqlmap/sqlmapapi.py -s //啟動sqlmapapi服務(wù) [13:00:04] [INFO] Running REST-JSON API server at '127.0.0.1:8775'.. [13:00:04] [INFO] Admin ID: ab18c70ad52882a22bb292012edde66b [13:00:04] [DEBUG] IPC database: '/tmp/sqlmapipc-azBGY8' [13:00:04] [DEBUG] REST-JSON API server connected to IPC database [13:00:04] [DEBUG] Using adapter 'wsgiref' to run bottle 復(fù)制代碼

2、4 訪問WebUI界面

使用瀏覽器訪問http://localhost/sqlmap/ 即可，如果之前的配置都順利的話，就能看到WebUI界面了：

功能介紹：

Basic：設(shè)置需要測試的URL地址，和http請求方法

Request：修改HTTP請求的一些參數(shù)，比如延時、認(rèn)證，UA等

Injection & Technique：選擇應(yīng)用哪種注入和技術(shù)

Detection：設(shè)置要匹配的自定義字符串

Enumeration：設(shè)置要檢索哪些數(shù)據(jù)

Access：訪問參數(shù)，如果不清楚，保持默認(rèn)值即可

3、基于SQLi-labs 進(jìn)行測試

提示：請遵守相關(guān)法律法規(guī)，不要對真實網(wǎng)站進(jìn)行測試。

這里我們選擇sqli-labs環(huán)境進(jìn)行測試。

我們選擇第一節(jié)好了，第一節(jié)是一個報錯型注入，我們把第一節(jié)的URL填入：

切換到Injection & Technique選項卡，選擇注入類型

切換到Enumeration選項卡，選擇要檢索的數(shù)據(jù)

可以按住Ctrl鍵多選

當(dāng)設(shè)置好你想要的參數(shù)后，就可以點Run SQLMAP Web Scan 進(jìn)行測試了。

等待測試結(jié)果即可

4、總結(jié)

在本教程中，我們僅做了簡單的測試。

相對命令行來說，SQLMAP WebUI易于使用，不需要記住繁雜的命令和參數(shù)選項。

5、說明

本文由合天網(wǎng)安實驗室編譯，轉(zhuǎn)載請注明來源。

原文鏈接：

Configure Sqlmap for WEB-GUI in Kali Linux

關(guān)于合天網(wǎng)安實驗室

合天網(wǎng)安實驗室（www.hetianlab.com）-國內(nèi)領(lǐng)先的實操型網(wǎng)絡(luò)安全在線教育平臺

真實環(huán)境，在線實操學(xué)網(wǎng)絡(luò)安全 ； 實驗內(nèi)容涵蓋：系統(tǒng)安全，軟件安全，網(wǎng)絡(luò)安全，Web安全，移動安全，CTF，取證分析，滲透測試，網(wǎng)安意識教育等。

轉(zhuǎn)載于:https://juejin.im/post/5c91d3365188252da05f40c9

總結(jié)

以上是生活随笔為你收集整理的为SQLMap配置WebUI界面的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。