CTF之WEB(sqlmap tamper 参数)

apostropheask.py 作用:将单引号替换为UTF-8,用于过滤单引号。

base64encode.py 作用:替换为base64编码。

multiplespaces.py 作用:绕过SQL关键字添加多个空格。

space2plus.py 作用:用+号替换空格

nonrecursivereplacement.py 作用:作为双重查询语句,用双重语句替代预定义的SQL关键字(适用于非常弱的自定义过滤器,例如将SELECT替换为空)

space2randomblank.py 作用:将空格替换为其他有效字符

unionalltounion.py 作用:将union all select 替换为 union select

securesphere.py 作用:追加特制的字符串

space2hash.py 作用:将空格替换为#号,并添加一个随机字符串和换行符。

space2mssqlblank.py(mssql) 作用:将空格替换为其他空字符。

space2mssqlhash.py (mssql) 作用:将空格替换为#号,并添加一个换行符。

between.py 作用:用 NOT BETWEEN 0 AND 替换大于号(>),用 BETWEEN AND 替换等号(=)

percentage.py 作用:ASP允许在每个字符前面添加一个%号

sp_password.py 作用:从DBMS日志的自动模糊处理的有效载荷中追加sp_password

charencode.py 作用:对给定的payload全部使用URL编码(不处理已经编码的字符)

randomcase.py 作用:随机大小写

charunicodeencode.py 作用:字符串unicode编码

space2comment.py 作用:将空格替换为/**/

equaltolike.py 作用:将等号替换为like

greatest.py 作用:绕过对">"的过滤,用GREATEST替换大于号

测试通过的数据库类型和版本:

MySQL 4 ,MySQL 5.0和MySQL 5.5

Oracle 10g

PostgreSQL 8.3 , PostgreSQL 8.4和 PostgreSQL 9.0

ifnull2ifisnull.py 作用:绕过对IFNULL的过滤,替换类似IFNULL(A,B)为IF(ISNULL(A),B,A)

测试通过的数据库类型和版本MySQL 5.0

space2mysqlblank.py 作用:将空格替换为其他空白符号

测试通过数据库类型和版本:MySQL 4 ,MySQL 5.0和MySQL 5.5

modsecurityversioned.py 作用:过滤空格,使用MySQL内联注释的方式进行注入。

测试通过的数据库类型和版本:MySQL 5.1

modsecurityzeroversioned.py 作用:使用MySQL内联注释的方式(/*!00000*/)进行注入

测试通过的数据库类型和版本:MySQL 5.0

space2mysqldash.py 作用:将空格替换为 -- ,并添加一个换行符。

bluecoat.py 作用:在SQL语句之后用有效的随机空白字符替换空格符,随后用LIKE替换等于号(=)。

测试通过的数据库类型和版本:MySQL 5.1和SGOS

versionedkeywords.py 作用:注释绕过

halfversionedmorekeywords.py 作用:当数据库为MySQL时绕过防火墙,在每个关键字之前添加MySQL版本注释。

测试通过的数据库类型和版本:MySQL 4.0.18和MySQL 5.0.22

space2morehash.py 作用:将空格替换为#号,并添加一个随机字符串和换行符

测试通过的数据库类型和版本:MySQL 5.1.41

apostrophenullencode.py 作用:用非法双字节unicode字符替换单引号

appendnullbyte.py 作用:在有效负荷的结束位置加载零字节字符编码

chardoubleencode.py 作用:对给定的payload全部字符使用双重URL编码(不处理已经编码的字符)

unmagicquotes.py 作用:用一个多字节组合(%bf%27)和末尾通用注释一起替换空格

randomcomments.py 作用:用/**/分割SQL关键字

相关推荐
刘婉晴13 分钟前
【信息安全工程师备考笔记】第三章 密码学基本理论
笔记·安全·密码学
weixin_贾43 分钟前
最新AI-Python机器学习与深度学习技术在植被参数反演中的核心技术应用
python·机器学习·植被参数·遥感反演
张槊哲1 小时前
函数的定义与使用(python)
开发语言·python
船长@Quant1 小时前
文档构建:Sphinx全面使用指南 — 实战篇
python·markdown·sphinx·文档构建
偶尔微微一笑2 小时前
AI网络渗透kali应用(gptshell)
linux·人工智能·python·自然语言处理·编辑器
向哆哆2 小时前
Java 安全:如何防止 DDoS 攻击?
java·安全·ddos
浩浩测试一下3 小时前
计算机网络中的DHCP是什么呀? 详情解答
android·网络·计算机网络·安全·web安全·网络安全·安全架构
船长@Quant3 小时前
文档构建:Sphinx全面使用指南 — 基础篇
python·markdown·sphinx·文档构建
喵手3 小时前
从 Java 到 Kotlin:在现有项目中迁移的最佳实践!
java·python·kotlin
liuweidong08023 小时前
【Pandas】pandas DataFrame rsub
开发语言·python·pandas