SQLMap 中文图形化界面使用说明

简介

SQLMap 中文图形化界面是一个基于 SQLMap 的完全中文化图形界面工具，旨在让 SQLMap 更加易于使用。本工具保留了 SQLMap 的强大功能，同时提供了友好的中文界面和详细的结果分析。

主要功能

1. 完全中文化界面：所有选项和输出均为中文，方便中文用户使用
2. 图形化参数配置：通过界面轻松设置 SQLMap 的各种参数
3. 实时输出显示：实时显示扫描过程和结果
4. 结果分析：自动分析扫描结果，提供详细的漏洞信息和修复建议
5. HTML报告生成：生成美观的 HTML 格式扫描报告
6. 历史记录管理：查看和管理历史扫描记录
7. 日志保存：自动保存详细日志，方便后续分析

使用方法

启动程序

双击 启动中文图形化界面.bat 文件启动程序。

基本设置

1. 在"基本设置"选项卡中：
   • 输入目标 URL 或选择请求文件
   • 设置 Cookie（如需）
   • 选择检测级别（1-5）和风险级别（1-3）
   • 选择注入技术（布尔盲注、报错注入、联合查询注入等）
   • 选择数据库类型（如已知）

高级设置

在"高级设置"选项卡中：

1. 枚举选项：

   • 获取当前用户
   • 获取当前数据库
   • 获取主机名
   • 检测 DBA 权限
   • 枚举数据库、表、列
   • 导出数据

2. 高级选项：

   • 线程数
   • 超时时间
   • 请求延迟
   • 使用随机 User-Agent
   • 测试表单
   • 爬行网站
   • 非交互模式
   • 使用 Tor 网络
   • 检测 WAF/IPS
   • 仅分析文本内容
   • 忽略 HTTP 500 错误

3. Tamper 脚本：

   • 选择预设的 Tamper 脚本组合
   • 自定义 Tamper 脚本

4. 自定义参数：

   • 添加其他 SQLMap 支持的参数

开始扫描

1. 点击工具栏上的"开始扫描"按钮或窗口底部的"开始扫描"按钮
2. 扫描过程中可以实时查看输出
3. 点击"停止扫描"按钮可以随时停止扫描

查看结果

1. 扫描分析：扫描完成后，切换到"扫描分析"选项卡查看详细分析和建议
2. 生成报告：点击"生成报告"按钮生成 HTML 格式的扫描报告
3. 历史记录：点击工具栏上的"历史记录"按钮查看历史扫描记录

参数说明

检测级别（1-5）

• 级别 1：默认级别，测试大多数常见的注入点
• 级别 2：测试 Cookie 参数
• 级别 3：测试 User-Agent/Referer 头
• 级别 4：测试 HTTP 头
• 级别 5：测试所有可能的注入点（最慢）

风险级别（1-3）

• 风险 1：安全测试，不会对目标造成影响
• 风险 2：可能会导致数据库延迟
• 风险 3：可能会导致数据库崩溃或数据损坏

注入技术

• B：布尔盲注
• E：报错注入
• U：联合查询注入
• S：堆叠查询注入
• T：时间盲注
• Q：内联查询注入

常见问题

1. 扫描速度慢：

   • 降低检测级别
   • 减少注入技术
   • 增加线程数
   • 使用 --text-only 选项

2. HTTP 500 错误：

   • 勾选"忽略 HTTP 500 错误"选项
   • 减小请求频率（增加延迟）

3. WAF/IPS 拦截：

   • 使用 Tamper 脚本绕过
   • 使用随机 User-Agent
   • 增加请求延迟

4. 无法检测到注入点：

   • 增加检测级别
   • 增加风险级别
   • 尝试不同的注入技术
   • 检查目标参数是否正确

日志和报告

• 所有扫描日志保存在 logs 目录下
• HTML 报告也保存在 logs 目录下
• 可以通过"历史记录"功能查看和分析历史扫描记录

注意事项

1. 仅在授权的目标上进行测试
2. 高风险级别可能会对目标系统造成影响
3. 建议在测试环境中先进行测试
4. 遵守相关法律法规，不要对未授权的系统进行测试