Non so se può essere utile la risposta vista la data del topic, ma in ogni caso condivido il mio sapere in breve. Magari torna utile a qualcun altro 
DVWA come saprai utilizza 3 differenti livelli di sicurezza. Questi 3 livelli sono identificati appunto dai cookie, perciò senza questi SQLmap non riesce ad operare correttamente.
Infatti risulta molto utile quando si effettua un testing ad un sito web trovare più informazioni possibile riguardanti il sito. Questo ti aiuterà a trovare differenti tipi di bug e ti assicura un corretto operato. Ovviamente nel tuo caso sei andato sul sicuro dato che ti sei incentrato sulle SQL injection. Quando faccio un testing solitamente tengo sempre burp suite aperto, che mi aiuta moltissimo intercettando la richiesta effettuata.
Nel caso specifico, se intercetti la richiesta troverai una riga simile a questa:
Cookie: Security=low; PHPSESSID=ecc..ecc
Per comodità, e per utilizzare correttamente sqlmap infatti io salvo tutto il contenuto della sessione intercettato con burpsuite in un file txt e poi invece di passare l'url come parametro a sqlmap gli passo il file di testo.
Esempio:
sqlmap -r session.txt -p 'id' --level=5 --risk=3
In questo modo sono sicuro di effettuare correttamente la richiesta tramite sqlmap.
DVWA come saprai utilizza 3 differenti livelli di sicurezza. Questi 3 livelli sono identificati appunto dai cookie, perciò senza questi SQLmap non riesce ad operare correttamente.
Infatti risulta molto utile quando si effettua un testing ad un sito web trovare più informazioni possibile riguardanti il sito. Questo ti aiuterà a trovare differenti tipi di bug e ti assicura un corretto operato. Ovviamente nel tuo caso sei andato sul sicuro dato che ti sei incentrato sulle SQL injection. Quando faccio un testing solitamente tengo sempre burp suite aperto, che mi aiuta moltissimo intercettando la richiesta effettuata.
Nel caso specifico, se intercetti la richiesta troverai una riga simile a questa:
Cookie: Security=low; PHPSESSID=ecc..ecc
Per comodità, e per utilizzare correttamente sqlmap infatti io salvo tutto il contenuto della sessione intercettato con burpsuite in un file txt e poi invece di passare l'url come parametro a sqlmap gli passo il file di testo.
Esempio:
sqlmap -r session.txt -p 'id' --level=5 --risk=3
In questo modo sono sicuro di effettuare correttamente la richiesta tramite sqlmap.