Compétences sqlmap-database-pentesting
📦

sqlmap-database-pentesting

Risque faible ⚙️ Commandes externes🌐 Accès réseau

Automatizar Pruebas de Inyección SQL

Esta habilidad proporciona comandos y metodologías integrales de sqlmap para detectar y explotar vulnerabilidades de inyección SQL en aplicaciones web durante pruebas de penetración autorizadas.

Prend en charge: Claude Codex Code(CC)
⚠️ 68 Médiocre
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "sqlmap-database-pentesting". Ejecutar escaneo básico de sqlmap en http://testphp.vulnweb.com/artists.php?artist=1

Résultat attendu:

sqlmap identificó el siguiente punto de inyección:

Parámetro: artist (GET)
Tipo: boolean-based blind
Título: MySQL boolean-based blind - WHERE clause
Payload: artist=1 AND 5737=5737

Base de datos: acuart
Bases de datos disponibles [4]:
* information_schema
* acuart
* mysql
* test

Utilisation de "sqlmap-database-pentesting". Extraer credenciales de usuario de la tabla users

Résultat attendu:

Base de datos: acuart
Tabla: users
[3 entradas]
+----------+------------------------------------------+
| username | password |
+----------+------------------------------------------+
| test | test |
| admin | 0d107d09f5bbe40cade3de5c71e9e9b7 (MD5) |
| user | 098f6bcd4621d373cade4e832627b4f6 (MD5) |
+----------+------------------------------------------+

Tabla: emails
[5 entradas]
Tabla: uagents
[3 entradas]
Tabla: artful
[88 entradas]

Utilisation de "sqlmap-database-pentesting". ¿Cuáles son los requisitos legales para usar sqlmap?

Résultat attendu:

Requisitos Legales para el Uso de sqlmap:

1. Autorización por Escrito: Solo prueba sistemas donde tengas permiso explícito por escrito del propietario del sistema
2. Limitaciones de Alcance: Respeta el alcance definido en las reglas de tu compromiso
3. Documentación: Documenta todas las actividades de prueba y hallazgos
4. Divulgación Responsable: Reporta vulnerabilidades al propietario del sistema
5. Advertencia Legal: Los ataques de Google dork contra sitios desconocidos son ilegales

Audit de sécurité

Risque faible
v1 • 2/25/2026

This skill provides documentation for sqlmap, a legitimate open-source penetration testing tool. The detected patterns (external_commands, network URLs) are all documentation examples showing command syntax. Contains appropriate legal warnings about authorization requirements. All static findings are false positives - no actual command execution or unauthorized network activity.

1
Fichiers analysés
406
Lignes analysées
4
résultats
1
Total des audits
Problèmes à risque moyen (1)
SKILL.md:19-400
External Command Examples in Documentation
The skill contains 93 examples of sqlmap command syntax using backtick formatting. These are documentation examples, not actual command execution. sqlmap is a legitimate OWASP-recognized penetration testing tool.
Problèmes à risque faible (1)
SKILL.md:41-300
Example URLs in Documentation
The skill contains example URLs like http://target.com and test URLs. These are standard documentation placeholders, not actual network targets.

Facteurs de risque

⚙️ Commandes externes (1)
SKILL.md:19
🌐 Accès réseau (1)
SKILL.md:41
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
32
Communauté
83
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Pruebas de Seguridad de Aplicaciones Web

Los profesionales de seguridad usan esta habilidad para probar sistemáticamente aplicaciones web en busca de vulnerabilidades de inyección SQL durante pruebas de penetración autorizadas.

Evaluación de Vulnerabilidades de Bases de Datos

Los desarrolladores y equipos de seguridad usan sqlmap para identificar y verificar vulnerabilidades de inyección SQL en sus aplicaciones antes de que los atacantes puedan explotarlas.

Educación y Capacitación en Seguridad

Los instructores de seguridad usan sqlmap en entornos controlados para enseñar a los desarrolladores sobre los riesgos de inyección SQL y las prácticas de codificación segura.

Essayez ces prompts

Escaneo Básico de Inyección SQL 
Ejecuta sqlmap para verificar si http://example.com/page.php?id=1 es vulnerable a inyección SQL. Usa el modo batch para salida no interactiva.
Enumeración de Base de Datos 
Usa sqlmap para enumerar todas las bases de datos en el objetivo http://example.com/login.php. Tengo autorización por escrito para probar este sistema.
Extraer Credenciales de Usuario 
Usa sqlmap para extraer la tabla de usuarios de la base de datos webapp. Volcar columnas de nombre de usuario y contraseña.
Evadir Protección WAF 
El objetivo está detrás de un WAF. Muéstrame cómo usar sqlmap con scripts tamper para evadir la protección.

Bonnes pratiques

  • Siempre obtén autorización por escrito antes de probar cualquier sistema
  • Comienza con opciones de bajo riesgo y escala solo si es necesario
  • Usa el modo --batch para escaneo automatizado no interactivo
  • Documenta todos los hallazgos y mantén registros de auditoría de las actividades de prueba

Éviter

  • Probar sistemas sin autorización explícita
  • Usar --risk=3 o --level=5 en sistemas de producción sin entender el impacto
  • Ejecutar sqlmap contra Google dorks para encontrar objetivos aleatorios
  • Ignorar requisitos legales y limitaciones de alcance en las reglas de compromiso

Foire aux questions

¿Qué es sqlmap?
sqlmap es una herramienta de pruebas de penetración de código abierto que automatiza el proceso de detectar y explotar fallas de inyección SQL. Es reconocida por OWASP como una herramienta estándar de pruebas de seguridad.
¿Es legal usar sqlmap?
sqlmap es legal cuando se usa en sistemas que posees o tienes autorización explícita por escrito para probar. Usarlo en sistemas sin permiso es ilegal.
¿Qué bases de datos soporta sqlmap?
sqlmap soporta MySQL, PostgreSQL, Microsoft SQL Server, Oracle, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, HSQLDB e Informix.
¿Cuál es la diferencia entre --dump y --dump-all?
--dump extrae datos de una tabla específica que especifiques, mientras que --dump-all extrae datos de todas las tablas en la base de datos objetivo.
¿Cómo puedo evadir un WAF al usar sqlmap?
Usa la opción --tamper con scripts como space2comment, between o randomcase. También puedes usar --delay para agregar pausas entre peticiones.
¿Qué hace --os-shell?
--os-shell intenta obtener una shell interactiva del sistema operativo en el servidor objetivo, si el usuario de la base de datos tiene privilegios DBA y la configuración de la base de datos subyacente lo permite.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/sqlmap-database-pentesting

Réf

main

Structure de fichiers

📄 SKILL.md