CTF之WEB(sqlmap tamper 参数)

apostropheask.py 作用:将单引号替换为UTF-8,用于过滤单引号。

base64encode.py 作用:替换为base64编码。

multiplespaces.py 作用:绕过SQL关键字添加多个空格。

space2plus.py 作用:用+号替换空格

nonrecursivereplacement.py 作用:作为双重查询语句,用双重语句替代预定义的SQL关键字(适用于非常弱的自定义过滤器,例如将SELECT替换为空)

space2randomblank.py 作用:将空格替换为其他有效字符

unionalltounion.py 作用:将union all select 替换为 union select

securesphere.py 作用:追加特制的字符串

space2hash.py 作用:将空格替换为#号,并添加一个随机字符串和换行符。

space2mssqlblank.py(mssql) 作用:将空格替换为其他空字符。

space2mssqlhash.py (mssql) 作用:将空格替换为#号,并添加一个换行符。

between.py 作用:用 NOT BETWEEN 0 AND 替换大于号(>),用 BETWEEN AND 替换等号(=)

percentage.py 作用:ASP允许在每个字符前面添加一个%号

sp_password.py 作用:从DBMS日志的自动模糊处理的有效载荷中追加sp_password

charencode.py 作用:对给定的payload全部使用URL编码(不处理已经编码的字符)

randomcase.py 作用:随机大小写

charunicodeencode.py 作用:字符串unicode编码

space2comment.py 作用:将空格替换为/**/

equaltolike.py 作用:将等号替换为like

greatest.py 作用:绕过对">"的过滤,用GREATEST替换大于号

测试通过的数据库类型和版本:

MySQL 4 ,MySQL 5.0和MySQL 5.5

Oracle 10g

PostgreSQL 8.3 , PostgreSQL 8.4和 PostgreSQL 9.0

ifnull2ifisnull.py 作用:绕过对IFNULL的过滤,替换类似IFNULL(A,B)为IF(ISNULL(A),B,A)

测试通过的数据库类型和版本MySQL 5.0

space2mysqlblank.py 作用:将空格替换为其他空白符号

测试通过数据库类型和版本:MySQL 4 ,MySQL 5.0和MySQL 5.5

modsecurityversioned.py 作用:过滤空格,使用MySQL内联注释的方式进行注入。

测试通过的数据库类型和版本:MySQL 5.1

modsecurityzeroversioned.py 作用:使用MySQL内联注释的方式(/*!00000*/)进行注入

测试通过的数据库类型和版本:MySQL 5.0

space2mysqldash.py 作用:将空格替换为 -- ,并添加一个换行符。

bluecoat.py 作用:在SQL语句之后用有效的随机空白字符替换空格符,随后用LIKE替换等于号(=)。

测试通过的数据库类型和版本:MySQL 5.1和SGOS

versionedkeywords.py 作用:注释绕过

halfversionedmorekeywords.py 作用:当数据库为MySQL时绕过防火墙,在每个关键字之前添加MySQL版本注释。

测试通过的数据库类型和版本:MySQL 4.0.18和MySQL 5.0.22

space2morehash.py 作用:将空格替换为#号,并添加一个随机字符串和换行符

测试通过的数据库类型和版本:MySQL 5.1.41

apostrophenullencode.py 作用:用非法双字节unicode字符替换单引号

appendnullbyte.py 作用:在有效负荷的结束位置加载零字节字符编码

chardoubleencode.py 作用:对给定的payload全部字符使用双重URL编码(不处理已经编码的字符)

unmagicquotes.py 作用:用一个多字节组合(%bf%27)和末尾通用注释一起替换空格

randomcomments.py 作用:用/**/分割SQL关键字

相关推荐
jieyu111922 分钟前
Python 实战:内网渗透中的信息收集自动化脚本(2)
python·网络安全·脚本开发
码界筑梦坊3 小时前
171-基于Flask的笔记本电脑数据可视化分析系统
python·信息可视化·flask·毕业设计·echarts
.Shu.4 小时前
计算机网络 TLS握手中三个随机数详解
网络·计算机网络·安全
hui函数7 小时前
Flask电影投票系统全解析
后端·python·flask
闲人编程9 小时前
Python第三方库IPFS-API使用详解:构建去中心化应用的完整指南
开发语言·python·去中心化·内存·寻址·存储·ipfs
计算机编程小咖10 小时前
《基于大数据的农产品交易数据分析与可视化系统》选题不当,毕业答辩可能直接挂科
java·大数据·hadoop·python·数据挖掘·数据分析·spark
zhangfeng113311 小时前
以下是基于图论的归一化切割(Normalized Cut)图像分割工具的完整实现,结合Tkinter界面设计及Python代码示
开发语言·python·图论
flashlight_hi12 小时前
LeetCode 分类刷题:2529. 正整数和负整数的最大计数
python·算法·leetcode
Ashlee_code12 小时前
香港券商櫃台系統跨境金融研究
java·python·科技·金融·架构·系统架构·区块链
Jia-Hui Su12 小时前
GDSFactory环境配置(PyCharm+Git+KLayout)
git·python·pycharm