码迷,mamicode.com
首页 > 数据库 > 详细

sqlmap注入之tamper绕过WAF脚本列表

时间:2017-09-21 19:24:57      阅读:163      评论:0      收藏:0      [点我收藏+]

标签:amp   lda   replace   bsp   ash   res   字符集   uri   null   

本文作者:i春秋作者——玫瑰
QQ2230353371转载请保留文章出处
  • 使用方法--tamper xxx.py
  • apostrophemask.py用UTF-8全角字符替换单引号字符
  • apostrophenullencode.py 用非法双字节unicode字符替换单引号字符
  • appendnullbyte.py在payload末尾添加空字符编码
  • base64encode.py 对给定的payload全部字符使用Base64编码
  • between.py分别用“NOT BETWEEN 0 AND #”替换大于号“>”,“BETWEEN # AND #”替换等于号“=”
  • bluecoat.py 在SQL语句之后用有效的随机空白符替换空格符,随后用“LIKE”替换等于号“=”
  • chardoubleencode.py 对给定的payload全部字符使用双重URL编码(不处理已经编码的字符)
  • charencode.py 对给定的payload全部字符使用URL编码(不处理已经编码的字符)
  • charunicodeencode.py 对给定的payload的非编码字符使用Unicode URL编码(不处理已经编码的字符)
  • concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例
  • equaltolike.py 用“LIKE”运算符替换全部等于号“=”
  • greatest.py 用“GREATEST”函数替换大于号“>”
  • halfversionedmorekeywords.py 在每个关键字之前添加MySQL注释
  • ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例
  • lowercase.py 用小写值替换每个关键字字符
  • modsecurityversioned.py 用注释包围完整的查询
  • modsecurityzeroversioned.py 用当中带有数字零的注释包围完整的查询
  • multiplespaces.py 在SQL关键字周围添加多个空格
  • nonrecursivereplacement.py 用representations替换预定义SQL关键字,适用于过滤器
  • overlongutf8.py 转换给定的payload当中的所有字符
  • percentage.py 在每个字符之前添加一个百分号
  • randomcase.py 随机转换每个关键字字符的大小写
  • randomcomments.py 向SQL关键字中插入随机注释
  • securesphere.py 添加经过特殊构造的字符串
  • sp_password.py 向payload末尾添加“sp_password” for automatic obfuscation from DBMS logs
  • space2comment.py 用“/**/”替换空格符
  • space2dash.py 用破折号注释符“--”其次是一个随机字符串和一个换行符替换空格符
  • space2hash.py 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
  • space2morehash.py 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
  • space2mssqlblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
  • space2mssqlhash.py 用磅注释符“#”其次是一个换行符替换空格符
  • space2mysqlblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
  • space2mysqldash.py 用破折号注释符“--”其次是一个换行符替换空格符
  • space2plus.py 用加号“+”替换空格符
  • space2randomblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
  • unionalltounion.py 用“UNION SELECT”替换“UNION ALL SELECT”
  • unmagicquotes.py 用一个多字节组合%bf%27和末尾通用注释一起替换空格符
  • varnish.py 添加一个HTTP头“X-originating-IP”来绕过WAF
  • versionedkeywords.py 用MySQL注释包围每个非函数关键字
  • versionedmorekeywords.py 用MySQL注释包围每个关键字
  • xforwardedfor.py 添加一个伪造的HTTP头“X-Forwarded-For”来绕过WAF

 

 

sqlmap注入之tamper绕过WAF脚本列表

标签:amp   lda   replace   bsp   ash   res   字符集   uri   null   

原文地址:http://www.cnblogs.com/ichunqiu/p/7570036.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!