作者： 村里的小四
免责声明：本文仅供学习研究，严禁从事非法活动，任何后果由使用者本人负责。

0x01 前言

从开源软件Sqlmap学习字符的篡改，现在的web网络环境参数出入处基本都会过滤某些字符串，我们在进行sql注入时，Sqlmap这款Sql注入神器的插件就可以帮助我们（Tamper）篡改字符，实现绕过，以下为实战中常用的Tamper，建议收藏。

Sqlmap下载地址：https://github.com/sqlmapproject/sqlmap

0x02 常用Tamper

用法这里就不过多介绍了

python sqlmap.py -u xxx  --tamper xxx.py

2.1 0eunion.py

使用e0UNION替换UNION

已经测试过的数据库：Mysql,Mssql

2.2 apostrophemask.py

将’替换成UTF-8urlencoded的%EF%BC%87

2.3 apostrophenullencode.py

将’替换成%00%27

2.4 appendnullbyte.py

在参数末尾加入%00

已经测试过的数据库：Microsoft Access

2.5 base64encode.py

base64编码所有字符

2.6 between.py

将>字符替换为NOT BETWEEN 0 AND

将=字符替换为BETWEEN # AND # （这个#看下面的例子）

'1 AND A = B--'

'1 AND A BETWEEN B AND B--'

已经测试过的数据库：Microsoft SQL Server 2005

MySQL 4, 5.0 and 5.5

Oracle 10g

PostgreSQL 8.3, 8.4, 9.0

2.7 bluecoat.py

将sql语句后的空格字符替换为%09，LIKE替换字符=

已经测试过的数据库：mysql5.1之前

2.8 charencode.py

URL编码

已经测试过的数据库：Microsoft SQL Server 2005

MySQL 4, 5.0 and 5.5

Oracle 10g

PostgreSQL 8.3, 8.4, 9.0

2.9 chardoubleencode.py

二次URL编码

2.10 charunicodeencode.py

URL编码

必要条件:ASP,ASP.NET

使用数据库：Microsoft SQL Server 2000

Microsoft SQL Server 2005

MySQL 5.1.56

PostgreSQL 9.0.3

2.11 charunicodeescape.py

url解码中的%篡改成\

2.12 commalesslimit.py

替换字符的位置

'LIMIT 2, 3'
'LIMIT 3 OFFSET 2'

必要条件：mysql

已经测试过的数据库：mysql5.0，mysql5.5

2.13 concat2concatws.py

将concat(a,b)替换成concat_ws(mid(char(0),0,0),a,b)

'CONCAT(1,2)'
CONCAT_WS(MID(CHAR(0),0,0),1,2)

必要条件：mysql

已经测试过的数据库：mysql5.0

2.14 dunion.py

将UNION换成DUNION

必要条件：Oracle

2.15 equaltolike.py

将=篡改成LIKE

SELECT * FROM users WHERE id=1
SELECT * FROM users WHERE id LIKE 1

已经测试过的数据库：Microsoft SQL Server 2005

MySQL 4, 5.0 and 5.5

2.16 equaltorlike.py

将=篡改成RLIKE

2.17 greatest.py

使用greatest替换>

已经测试过的数据库：MySQL 4, 5.0 and 5.5

Oracle 10g

PostgreSQL 8.3, 8.4, 9.0

2.18 halfversionedmorekeywords.py

在每个关键字之前添加mysql版本注释

"value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa"
   "value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa"

必要条件：mysql<5.1

已经测试过的数据库：mysql4.0.18，5.0.22

2.19 htmlencode.py

html编码

2.20 ifnull2casewhenisnull.py

添加一个内联注释(//)到information_schema末尾

'SELECT table_name FROM INFORMATION_SCHEMA.TABLES'
'SELECT table_name FROM INFORMATION_SCHEMA/**/.TABLES'

2.21 lowercase.py

将字符转换为小写

2.22 misunion.py

UNION篡改为-.1UNION

2.23 modsecurityversioned.py和modsecurityzeroversioned.py

这两个tamper可以绕过modsecurity防火墙

2.24 multiplespaces.py

在sql关键字周围添加多个空格

'1 UNION SELECT foobar'
'1     UNION     SELECT     foobar'

2.25 overlongutf8.py

空格替换为%C0%A0

2.26 percentage.py

在每一个字符前面添加一个百分比符号

'SELECT FIELD FROM TABLE'
'%S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E'

2.27 randomcase.py

字符替换成大小写字符

'function()'
'FuNcTiOn()'

2.28 randomcomments.py

在关键字添加内联注释//

'INSERT'
'I/**/NS/**/ERT'

2.29 sp_password.py

将sp_password附加到有效负载的末尾，用来混淆

'1 AND 9227=9227-- '
 '1 AND 9227=9227-- sp_password'

必要条件：mssql

2.30 space2comment.py

空格替换成//

'SELECT id FROM users'
'SELECT/**/id/**/FROM/**/users'

2.31 space2morecomment.py

空格替换成/ /

已经测试过的数据库：mysql5.0 and 5.5

'SELECT id FROM users'
'SELECT/**_**/id/**_**/FROM/**_**/users'

2.32 space2mssqlblank.py

将空格替换成随机的以下字符

'%01', '%02', '%03', '%04', '%05', '%06', '%07', '%08', '%09', '%0B', '%0C', '%0D', '%0E', '%0F', '%0A'

'SELECT id FROM users'
'SELECT%0Did%0DFROM%04users'

适用数据库：Microsoft SQL Server

已经测试过的数据库：sql server 2000 sql server 2005

2.33 space2mssqlhash.py

将空格替换成%23%0A

适用数据库：mssql mysql

2.34 space2plus.py

将空格替换成+

2.35 space2randomblank.py

将刻个替换成以下随机的字符

"%09", "%0A", "%0C", "%0D"

测试过的数据库：

Microsoft SQL Server 2005

MySQL 4, 5.0 and 5.5

Oracle 10g

PostgreSQL 8.3, 8.4, 9.0

2.36 symboliclogical.py

将and和or的逻辑运算符分别替换为(&&和||)

"1 AND '1'='1"
"1 %26%26 '1'='1"

2.37 unionalltonnion.py

将union all select 替换成union select

'-1 UNION ALL SELECT'
'-1 UNION SELECT'

2.38 uppercase.py

将关键字符替换成大写

'insert'
'INSERT'

已经测试过的数据库：Microsoft SQL Server 2005

MySQL 4, 5.0 and 5.5

Oracle 10g

PostgreSQL 8.3, 8.4, 9.0

2.39 varnish.py

附加一个HTTP头来 X-originating-IP = “127.0.0.1” 来绕过防火墙

2.40 xforwardedfor.py

附加一个虚假的HTTP头“X-Forwarded-For”

0x03 总结

很多人觉得使用这款神器觉得挖不到注入，其实大多数情况下一般都进行了过滤，这时候这款开源软件里面的tamper还是很值得我们学习的，对于绕过防火墙也是很好的思路。

0x04 了解更多安全知识

欢迎关注我们的安全公众号，学习更多安全知识！！！
欢迎关注我们的安全公众号，学习更多安全知识！！！
欢迎关注我们的安全公众号，学习更多安全知识！！！