sqlmap从入门到精通-第七章-7-15 绕过WAF脚本-percentage.py&overlongutf8more.py

31. percentage.py脚本

用百分号来绕过关键字过滤,具体的就是在每个关键字的字母前面加一个百分号

实战演示:

测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="percentage.py" --proxy="http://127.0.0.1:8080" -batch

sqlmap从入门到精通-第七章-7-15 绕过WAF脚本-percentage.py&overlongutf8more.py

并未测试出来sql注入漏洞,看下burp抓包情况

sqlmap从入门到精通-第七章-7-15 绕过WAF脚本-percentage.py&overlongutf8more.py

发现几乎全部是带%的,但是注入结果不理想,并没有测试出啦

===================================================================================================================================================

32. plus2concat.py脚本

使用concat函数来代替加号,一般会用于加号被过滤了的情况,适用于sql server 2012

实战演示:

测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="percentage.py" --proxy="http://127.0.0.1:8080" -batch

sqlmap从入门到精通-第七章-7-15 绕过WAF脚本-percentage.py&overlongutf8more.py

没有注入结果,看burp抓包情况

sqlmap从入门到精通-第七章-7-15 绕过WAF脚本-percentage.py&overlongutf8more.py

没看到很大的 效果 

 

sqlmap从入门到精通-第七章-7-15 绕过WAF脚本-percentage.py&overlongutf8more.py

上一篇:mysqlhotcopy报错"Perhaps the DBD::mysql perl module hasn't been fully installed, or perhaps the capitalisation of 'mysql' isn't right."


下一篇:创意无限!一组网页边栏过渡动画【附源码下载】