• Sqlmap 简介及安装

Sqlmap 是开源的可以自动检测并利用sql漏洞的渗透测试工具。CTF题目中经常遇到 sql注入题目，如果题目比较简单可以直接通过Sqlmap 拿到flag。

Sqlmap 是基于python开发的工具。如果在Linux 系统中使用Sqlmap 直接下载源码安装即可。如果要在Windows系统中使用Sqlmap ，需要先安装python环境。http://sqlmap.org/ 是 Sqlmap 官方网址，直接可以下载源码，并用python命令行运行即可。运行后，界面如下图所示：

• Sqlmap 常用参数介绍

Sqlmap 提供了强大的命令行功能，借助这些命令可以实现复杂的sql注入。基本参数及作用如下表格所示：

• Sqlmap Tamper介绍

一般的CTF题目都设置了一些过滤操作，例如过滤空格、关键字(select)等，这时我们需要调用 Sqlmap中的一些 Tamper来绕过。Tamper以python脚本的形式存放在 Sqlmap 目录的tamper文件夹，下面为大家介绍常用的一些 Tamper。