sqlmap
não encontra automaticamente os destinos, mas permite usar os registros de proxy como fonte para a lista de segmentação:
-l LIST Parse targets from Burp or WebScarab proxy logs
Página inicial da Burp: link
WebScarab Howto: link
Claro, você também pode entrar no servidor, obter uma lista de arquivos php e modificá-lo para ser uma lista de URLs válida (se você não estiver fazendo reescritas complexas no servidor web).
EDIT - Como assim, assumindo que o servidor execute o GNU / Linux:
#!/bin/bash
uri=http://webapp.yourdomain.com/app/
webroot=/var/www/yourapp/
find $webroot -iname '*php' | sed -e "s#$webroot#$uri#g"