sqlmap绕过d盾_姿势分享——SQL注入bypass D盾

最新推荐文章于 2023-05-18 23:09:28 发布
VIP文章 最新推荐文章于 2023-05-18 23:09:28 发布
阅读量5.4k 收藏 6
点赞数 1
文章标签: sqlmap绕过d盾

afc9b0edc6f837a36e93dbbfdad61842.gif

首先感谢兄弟们的支持与关注,我们的成长离不开您的陪伴

在我们做项目的途中经常会遇到各种各样的waf,防火墙等来拦截我们的payload,这很是让渗透测试人员头疼,其实网上就有很多关于waf绕过原理的文章,这篇文章就是想告诉大家,当大家理解了网上关于waf绕过的文章的内容并对其原理了解后,其实把理论深化进实践中并没有多困难,本篇文章就是将一个简单常规的小思路实践了一下,便成功绕过了D盾的waf

关于sql注入的waf绕过,说白了就是通过混淆你的sql语句,让他以另外一种方式呈现出来,以绕过waf的黑名单正则匹配,关于sql注入waf绕过的原理在这篇文章里不再重复,我们直接来看实例,分享一种bypass D盾的方法,这里直接贴上tamper。

话不多说,来看代码:

#!/usr/bin/env pythonfrom lib.core.enums import PRIORITY__priority__ = PRIORITY.LOWdef dependencies():    passdef tamper(payload, **kwargs):    """            BYPASS Ddun    """
最低0.47元/天 解锁文章
weixin_39594080
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入绕过
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
02-16 668
【代码】sql注入绕过
sqlmap绕过d盾_各种姿势绕过WAF
weixin_39683858的博客
12-09 2208
常在河边走,哪有不被狗咬的,记得我刚学渗透时经常遇见"狗",一不小心就弹出这个鬼东西,以前学的那些大小写绕过之类的技巧在这狗面前根本不管用,这还渗透个屁啊!看到这个页面我相信很多小白也是头皮发麻就想放弃了,今天我带来了我家祖传的狗头铡第一种正常情况下get传参这块被各大waf厂商杀的很惨,众所周知把get改成post一样可以正常请求,同时这也是最简单的绕waf姿势把GET改为POST后把...
实战绕过双重waf(玄武盾+程序自身过滤)结合编写sqlmap的tamper获取数据.pdf
03-24
实战绕过双重waf 玄武盾+程序自身过滤 结合编写sqlmap的tamper获取数据 文档来自互联网仅做学习使用,请勿使用文档相关内容进行违法犯罪活动。
sqlmap_自动化sql注入引擎_None_sqlmap_sql注入_sql_flath1c_vulnerability_
10-02
SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。
绕过D盾D盾实战绕过
11-18
绕过D盾实战,想学习的同学。。抓紧,这是一个带实战的视频。更有一个提升。
sqlmap自动扫描器.zip_sqlmap_sqlmap扫描器_sql工具
09-23
sqlmap非常好用的数据库渗透工具,请合理使用。
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
web安全,sql注入常见绕过方式(一)
m0_67265441的博客
01-24 823
老是对我们的sql语句图谋不轨虽然是我们先对他的网站图谋不轨先得。演示: 原语句:id=1 and 1=1 修改后语句:id=1+and+1=1。2. 在判断注入类型的时候我门很多人可能会用and 1=1等等语句,但是我常用的是减法。他是我使用频率最高的方法,我们判断注入点之后入id=1 回显内容是 a=1 b=1 然后输入id=2 a=2 b=4,那么我们输入id=2-1时回显的是a=1 b=1时这个就是数字型,反之是无变化时则是字符型的注入。总的来说数字型的是可以进行减法,反之字符型的不可以。
sqlmap绕过d盾_记一次很迷的绕过D盾的经历
weixin_39949473的博客
12-09 2408
今天上课的时候,无聊的我看着qq中的群聊,突然看到一个学弟说有个存在D盾的站绕不过去,我心想到我展现自己的时候了,互加好友之后,也拿到了站点。一个单引号打过去给我拦截了。被拦截了,也要想办法毕竟不能丢脸,尝试了很多办法都没有绕过。睡着还被老师发现,让我站起来回答问题,啊这,我灵机一动说我趴着听课呢?逃过一劫,但做人不能放弃啊,我下课直接去吃饭了,已经放弃的我打算写作业,然后又想起来那个站...
使用sqlmap 绕过防火墙进行注入测试
热门推荐
煜铭2011
04-20 4万+
0x00 前言 现在的网络环境往往是WAF/IPS/IDS保护着Web 服务器等等,这种保护措施往往会过滤挡住我们的SQL注入查询链接,甚至封锁我们的主机IP,所以这个时候,我们就要考虑怎样进行绕过,达到注入的目标。因为现在WAF/IPS/IDS都把sqlmap 列入黑名单了,呵呵!但是本文基于sqlmap 进行绕过注入测试,介绍至今仍然实用有效的技巧,以下策略在特定的环境能够成功绕...
第06篇:Bypass D盾_IIS防火墙SQL注入防御(多姿势)1
08-03
思路:a、白名单 b、绕过union select或select from的检测搭建这个window2003+IIS+php+mysql,可花费不少时间,测试过
sqlmap绕过CSRF检测进行注入
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-30 2374
最近在准备比赛,打sqlilabs时看了一下sqlmap的wiki,发现了–csrf-token和–csrf-url的参数,于是写了个php版本的bug试了一试。 同时也了解了一下大家对csrf注入的普遍做法:sqlmap+burp正则匹配,两相比较,还是sqlmap自带的功能比较方便。 写一个bug CSRF的普遍防御方法是增加anti-csrf token,也就是一串不可预测的字符串。于是动手写了一个php版本防csrf的sqli脚本,这里写的并不规范,时间戳是可以被预测的,而且此脚本可以被绕过to
生命在于学习——SQL注入绕过
易水哲的博客
08-17 7886
SQL注入绕过技术已经是一个老生常淡的内容了
第18、19天:WEB漏洞-WAF绕过注入以及SQLMAP绕过WAF
cailme的博客
05-18 1397
渗透测试day18、19天
sqlmap绕过d盾_HTTP协议bypass WAF(狗/盾)
weixin_39851809的博客
12-09 762
0x00 前言1.最近在整理并总结bypass WAF的一些方法,大概几个板块:注入绕过、漏洞exp绕过、上传绕过以及HTTP协议绕过。期间通过学习 很多国内外好的资源收获了不少,也给大家分享些方法。2.这里仅以HTTP协议其中一部分来bypass WAF来测试并编写sqlmap 的Tamper 发文当天仅测试了安全狗、D盾其他没有测试。总结的手段大概如下(截图):0x01 HTTP协...
sqlmap绕过d盾_记一次sqlmap --os-shell getshell过程的坑
weixin_39900830的博客
12-05 947
目标站点输入帅比' or 'a'='a 并随意输入一个密码,提示密码错误,就不多bb了直接sqlmap一把梭。来坑了来坑了,这个位置的注入死活没跑出来,可能的原因:1.我太菜 √2.站点为https然而我没有在数据包里面添加:443 × 登录系统后发现整个系统都是注入,随便找了个其他地方开始了注入……在host后面添加:443 host后面没加:443之前就一直没跑出来,并且sq...
sqlmap绕过d盾_Web扫目录+SQLmap+外部代理池绕过IP拦截
weixin_39901077的博客
12-06 331
日常渗透必不可免的爆破目录、各种工具一把梭!!而面临的痛点就是IP被ban-.-那么如何绕过拦截呢?前几天刚好碰到大佬的文章,很赞!继续观摩大佬的思路↓ 果然我还是太菜了!!Jaky,公众号:洛米唯熊sqlmap+外部代理池绕过IP拦截0x00:前言一、基于前面写过给"扫目录+N多代理“,这次给sqlmap加一个代理池。用处就是在跑sqlamp注入的时候,防止被ban掉IP.扫目录+N多...
Waf功能、分类与绕过
ChenTing_的博客
11-15 1955
一. waf工作原理 Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 常见的系统攻击分为两类: 一是利用Web服务器的漏洞进行攻击,如DDOS攻击、病毒木马破坏等攻击; 二是利用网页自身的安全漏洞进行攻击,如SQL注入攻击、跨站脚本攻击等。常见攻击方式对网站服务器带来的危害主要集中在病毒木马破坏、网页非法篡改、各类网络攻击带来的威胁。 1. waf简介 WAF是Web应用防火墙(Web Application Firewall)的简称,对来自We
sqlmap绕过d盾_技术干货 | 实战绕过双重waf结合sqlmap tamper获取数据
weixin_39839478的博客
12-09 866
免责声明本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!欢迎各位添加微信号:qinchang_198231加入安世加 交流群 和大佬们一起交流安全技术//前言某次渗透中遇到的注入存在双层waf的情况,第一层是云waf第二层似乎是本地的安全狗或者是代码层...
sqlmap怎么绕过d盾
最新发布
05-25
SQLMap可以使用不同的技术和选项来绕过D盾。以下是一些可能有用的技巧: 1. 自定义User-Agent:通过使用自定义的User-Agent字符串,可以让SQLMap绕过一些基于User-Agent的WAF规则。 2. 使用随机字符串:通过使用随机字符串作为参数值,可以绕过一些基于参数值的WAF规则。 3. 使用--tamper选项:SQLMap的--tamper选项可以让你指定一个或多个自定义的tamper脚本,以修改SQLMap发送的请求,来尝试绕过WAF规则。 4. 使用--random-agent选项:使用--random-agent选项可以让SQLMap随机生成User-Agent,从而绕过一些基于User-Agent的WAF规则。 5. 使用--level和--risk选项:通过调整--level和--risk选项的值,可以让SQLMap更加聪明地进行注入测试,从而尝试绕过WAF规则。 请注意,任何绕过D盾的尝试都应该仅限于合法的安全测试范围内,并且应该遵守所有适用的法律和规定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值