實驗目的

普及SQLMAP調用tamper腳本的原理和過程，以及-tamper參數的使用方法。PS：面試時不要說打靶場什么東西，就說什么編碼之類的

實驗環境

攻擊機：稻城的冰雪終年不化
（1）操作系統：Windows10
（2）安裝的應用軟件：sqlmap、Burpsuite、FireFox瀏覽器插件Hackbar、
FoxyProxy等
（3）登錄賬號密碼：操作系統帳號Admin，密碼qazwsx
靶機：而黃昏又何來星辰

（1）操作系統：本機（建議用虛擬機，特別是公司系統都是Linux）不過我太懶了(￣??)
（2）安裝的應用軟件： Apache、MySQL(MariaDB）、PHP：DVWA、SQLi-Labs、?
Webug3.0漏洞網站環境?
（3）登錄賬號密碼：操作系統帳號root，密碼684264

實驗原理

tamper腳本是SQLMAP中用于繞過waf或應對網站過濾邏輯的腳本。SQLMAP自帶了一些tamper腳本，可以在tamper目錄下查看它們。用戶也可以根據已有的tamper腳本來編寫自己的tamper腳本（繞過邏輯）

實驗步驟
本實驗的目標是：以SQLi-Labs網站的Less-1為目標，查看SQLMAP調用tamper腳本的過程。
1.查看Tamper文件

文件查找工具everything的下載使用，建議都下載，超好用[]~(￣▽￣)~*

如圖搜索直接用notepad之類的打開，沒有的用編碼軟件Visual Studio Code 中文下載。

以后不想方便的改后綴txt試試

?反正我是懶省事，這段代碼為space2comment.py腳本文件的核心代碼，其作用是將SQLMAP檢測目標時所使用的payload中的空格全部替換成注釋。

2.啟動SQLMAP(沒有不會的點鏈接)

python sqlmap.py -h

3.查看SQLMAP調用tamper腳本文件space2comment.py的過程

在命令行工具cmd中輸入以下命令，對SQLi-Labs網站的Less-1執行SQL注入檢測：

檢測過程中可以觀察到，SQLMAP檢測目標時使用的payload中空格已被替換
成/**/，說明tamper腳本space2comment.py調用成功！

實驗至此結束。

SQL注入-SQLMAP基礎使用（十二）_Gjqhs的博客-CSDN博客?

SQL注入-二階注入（十）_Gjqhs的博客-CSDN博客?

SQL注入-寬字節注入（十一）（面試熱點）_Gjqhs的博客-CSDN博客?

...

更多包括而不限于SQL注入的文章，關注我全部帶走吧 φ(゜▽゜*)?

總結

以上是生活随笔為你收集整理的SQL注入——SQLmap的进阶使用（十五）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。