技能 sqlmap-database-pentesting

📦

sqlmap-database-pentesting

Name: sqlmap-database-pentesting
Author: sickn33

低風險 ⚙️ 外部命令🌐 網路存取

Automatizar Pruebas de Inyección SQL

Esta habilidad proporciona comandos y metodologías integrales de sqlmap para detectar y explotar vulnerabilidades de inyección SQL en aplicaciones web durante pruebas de penetración autorizadas.

支援: Claude Codex Code(CC)

⚠️ 67 差

下載技能 ZIP

在 Claude 中上傳

前往設定 → 功能 → 技能 → 上傳技能

開啟並開始使用

測試它

正在使用「sqlmap-database-pentesting」。 Ejecutar escaneo básico de sqlmap en http://testphp.vulnweb.com/artists.php?artist=1

預期結果:

sqlmap identificó el siguiente punto de inyección:

Parámetro: artist (GET)
Tipo: boolean-based blind
Título: MySQL boolean-based blind - WHERE clause
Payload: artist=1 AND 5737=5737

Base de datos: acuart
Bases de datos disponibles [4]:
* information_schema
* acuart
* mysql
* test

正在使用「sqlmap-database-pentesting」。 Extraer credenciales de usuario de la tabla users

預期結果:

正在使用「sqlmap-database-pentesting」。 ¿Cuáles son los requisitos legales para usar sqlmap?

預期結果:

Requisitos Legales para el Uso de sqlmap:

1. Autorización por Escrito: Solo prueba sistemas donde tengas permiso explícito por escrito del propietario del sistema
2. Limitaciones de Alcance: Respeta el alcance definido en las reglas de tu compromiso
3. Documentación: Documenta todas las actividades de prueba y hallazgos
4. Divulgación Responsable: Reporta vulnerabilidades al propietario del sistema
5. Advertencia Legal: Los ataques de Google dork contra sitios desconocidos son ilegales

安全審計

低風險

v1 • 2/25/2026

This skill provides documentation for sqlmap, a legitimate open-source penetration testing tool. The detected patterns (external_commands, network URLs) are all documentation examples showing command syntax. Contains appropriate legal warnings about authorization requirements. All static findings are false positives - no actual command execution or unauthorized network activity.

已掃描檔案

406

分析行數

發現項

審計總數

中風險問題 (1)

SKILL.md:19-400

External Command Examples in Documentation

The skill contains 93 examples of sqlmap command syntax using backtick formatting. These are documentation examples, not actual command execution. sqlmap is a legitimate OWASP-recognized penetration testing tool.

低風險問題 (1)

SKILL.md:41-300

Example URLs in Documentation

The skill contains example URLs like http://target.com and test URLs. These are standard documentation placeholders, not actual network targets.

風險因素

⚙️ 外部命令 (1)

SKILL.md:19

🌐 網路存取 (1)

SKILL.md:41

審計者: claude

品質評分

架構

100

可維護性

內容

社群

安全

規範符合性

你能建構什麼

Pruebas de Seguridad de Aplicaciones Web

Los profesionales de seguridad usan esta habilidad para probar sistemáticamente aplicaciones web en busca de vulnerabilidades de inyección SQL durante pruebas de penetración autorizadas.

Evaluación de Vulnerabilidades de Bases de Datos

Los desarrolladores y equipos de seguridad usan sqlmap para identificar y verificar vulnerabilidades de inyección SQL en sus aplicaciones antes de que los atacantes puedan explotarlas.

Educación y Capacitación en Seguridad

Los instructores de seguridad usan sqlmap en entornos controlados para enseñar a los desarrolladores sobre los riesgos de inyección SQL y las prácticas de codificación segura.

試試這些提示

Escaneo Básico de Inyección SQL

Ejecuta sqlmap para verificar si http://example.com/page.php?id=1 es vulnerable a inyección SQL. Usa el modo batch para salida no interactiva.

Enumeración de Base de Datos

Usa sqlmap para enumerar todas las bases de datos en el objetivo http://example.com/login.php. Tengo autorización por escrito para probar este sistema.

Extraer Credenciales de Usuario

Usa sqlmap para extraer la tabla de usuarios de la base de datos webapp. Volcar columnas de nombre de usuario y contraseña.

Evadir Protección WAF

El objetivo está detrás de un WAF. Muéstrame cómo usar sqlmap con scripts tamper para evadir la protección.

最佳實務

Siempre obtén autorización por escrito antes de probar cualquier sistema
Comienza con opciones de bajo riesgo y escala solo si es necesario
Usa el modo --batch para escaneo automatizado no interactivo
Documenta todos los hallazgos y mantén registros de auditoría de las actividades de prueba

避免

Probar sistemas sin autorización explícita
Usar --risk=3 o --level=5 en sistemas de producción sin entender el impacto
Ejecutar sqlmap contra Google dorks para encontrar objetivos aleatorios
Ignorar requisitos legales y limitaciones de alcance en las reglas de compromiso

常見問題

¿Qué es sqlmap?

sqlmap es una herramienta de pruebas de penetración de código abierto que automatiza el proceso de detectar y explotar fallas de inyección SQL. Es reconocida por OWASP como una herramienta estándar de pruebas de seguridad.

¿Es legal usar sqlmap?

sqlmap es legal cuando se usa en sistemas que posees o tienes autorización explícita por escrito para probar. Usarlo en sistemas sin permiso es ilegal.

¿Qué bases de datos soporta sqlmap?

sqlmap soporta MySQL, PostgreSQL, Microsoft SQL Server, Oracle, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, HSQLDB e Informix.

¿Cuál es la diferencia entre --dump y --dump-all?

--dump extrae datos de una tabla específica que especifiques, mientras que --dump-all extrae datos de todas las tablas en la base de datos objetivo.

¿Cómo puedo evadir un WAF al usar sqlmap?

Usa la opción --tamper con scripts como space2comment, between o randomcase. También puedes usar --delay para agregar pausas entre peticiones.

¿Qué hace --os-shell?

--os-shell intenta obtener una shell interactiva del sistema operativo en el servidor objetivo, si el usuario de la base de datos tiene privilegios DBA y la configuración de la base de datos subyacente lo permite.

開發者詳情

作者

sickn33

授權

MIT

儲存庫

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/sqlmap-database-pentesting

引用

main

檔案結構

📄 SKILL.md