sqlmap的常用tamper脚本
sqlmap下的tamper目录存放绕过WAF脚本
使用方法 --tamper 脚本名称,脚本名称
多个tamper脚本之间用空格隔开
|
apostrophemask.py |
用utf8代替引号 |
|
equaltolike.py |
like代替等号 |
|
space2dash.py |
绕过过滤‘=’ 替换空格字符(”),(’ – ‘)后跟一个破折号注释,一个随机字符串和一个新行(’ n’) |
|
greatest.py |
绕过过滤 > |
|
space2hash.py |
空格替换为#号 随机字符串以及换行符 |
|
apostrophenulencode.py |
绕过过滤双引号,替换字符和双引号。 |
|
halfversionedmorekeywords.py |
当数据库为mysql时绕过防火墙,每个关键字之前添加mysql版本评论 |
|
space2mssqlblank.py |
空格替换为其它空符号 |
|
base64encode.py |
用base64编码替换 |
|
modsecurityversioned.py |
过滤空格,包含完整的查询版本注释 |
|
space2mysqlblank.py |
空格替换其它空白符号(mysql) |
|
between.py |
用between替换大于号(>) |
|
space2mysqldash.py |
替换空格字符(' ')(' -')后跟一个破折号注释一个新行(' n') |
|
space2plus.py |
用+替换空格 |
