ctfshow-web进阶:SQL注入实战之Tamper脚本深度解析与定制开发
1. SQL注入与Tamper脚本基础认知
第一次接触CTF比赛中的SQL注入题目时,我对着web206的界面发呆了半小时——明明手工测试存在注入点,但用sqlmap跑就是不出数据。后来才发现,这道题在SQL语句中增加了括号包裹参数,就像SELECT * FROM users WHERE (id=1)。这种细节差异正是CTF比赛的魅力所在,也是Tamper脚本诞生的背景。
Tamper脚本的本质是sqlmap的"翻译官"。当遇到特殊过滤规则时,它能将标准payload"翻译"成符合目标要求的格式。比如:
- 空格被过滤?用
space2comment.py把空格变成/**/ - 等号被屏蔽?
equaltolike.py会用LIKE替代 - 关键词检测?
randomcase.py能随机大小写混淆
我常把Tamper脚本比作"特工装备"——普通sqlmap是常规武器,而Tamper就是针对特殊场景的伪装工具包。在web206中,其实不需要特殊Tamper,因为sqlmap会自动测试各种闭合方式(单引号/双引号/括号等)。但到了web207,比赛方开始增加过滤规则,这时候就需要装备上场了。
2. 常见过滤场景与Tamper组合策略
2.1 空格过滤的六种解法
web207演示了最经典的空格过滤场景。除了题目使用的space2comment.py,实战中还有这些替代方案:
# 用加号替代(space2plus.py) SELECT+id+FROM+users # 用水平制表符替代(%09) SELECT%09id%09FROM%09users # 用换行符替代(%0A) SELECT%0Aid%0AFROM%0Ausers # 用内联注释(space2comment.py) SELECT/**/id/**/FROM/**/users # 多重空白(multiplespaces.py) SELECT id FROM users # 哈希符号(space2mssqlhash.py) SELECT%23id%23FROM%23users去年某次比赛中,我遇到更变态的过滤——同时禁用空格和注释符。最终用%0B(垂直制表符)绕过,这种冷门字符经常被WAF忽略。
2.2 关键词混淆的艺术
web208展示了关键词过滤的对抗。当select被替换为空字符串时,使用randomcase.py生成像SeLeCt这样的随机大小写组合。但要注意:
- MySQL在Linux下默认区分大小写(Windows不区分)
- 可配合
--no-escape关闭URL编码 - 极端情况下需要自定义字符映射表
我曾写过一个增强版脚本,不仅随机大小写,还会将s替换为$、e替换为ë等特殊字符,这在某些国际编码环境中特别有效。
3. 自定义Tamper开发实战
3.1 基础模板解析
所有Tamper脚本都遵循相同结构。以web209的myon.py为例:
#!/usr/bin/env python from lib.core.compat import xrange from lib.core.enums import PRIORITY __priority__ = PRIORITY.LOW # 执行优先级 def dependencies(): # 依赖声明 pass def tamper(payload, **kwargs): retVal = payload if payload: retVal = "" # 核心处理逻辑... return retVal关键点在于tamper函数,它接收原始payload,返回处理后的字符串。开发时要特别注意:
- 保留引号内的内容不变
- 处理嵌套符号时维护语法正确性
- 避免引入新的敏感字符
3.2 编码类Tamper开发
web210的base64双重反转是个典型例子。其核心逻辑只有三行:
def tamper(payload, **kwargs): if payload: return base64.b64encode(base64.b64encode(payload[::-1])[::-1]).decode()但实际开发中要注意:
- 字符串与bytes类型转换(
encode()/decode()) - 异常处理(如非ASCII字符处理)
- 与其它Tamper的兼容性(通过
__priority__调整)
建议开发流程:
- 先用Python交互环境测试编码逻辑
- 编写最小化Tamper脚本
- 用
--tamper your_script.py --test-filter局部测试 - 最后整合到完整注入流程
4. 高级绕过技巧与调试方法
4.1 多重Tamper组合策略
在web209中,我们需要同时处理空格和等号过滤。这时可以组合多个Tamper:
--tamper=myon.py,equaltolike.py执行顺序遵循:
- 按
__priority__值从高到低 - 同优先级按命令行顺序
- 最后执行sqlmap自带的优化处理
我曾遇到需要五个Tamper串联的情况,这时候要特别注意:
- 避免循环处理(如A脚本输出触发B脚本过滤)
- 使用
--proxy=http://127.0.0.1:8080配合Burp观察中间payload - 通过
--test-string="TEST_VALUE"验证最终效果
4.2 常见报错解决方案
问题1:__init__.py missing错误
- 原因:自定义Tamper目录缺少初始化文件
- 解决:从sqlmap的
tamper/目录复制__init__.py
问题2:TypeError: can only concatenate str (not "bytes") to str
- 原因:Python 3中字符串与bytes混用
- 解决:统一使用
payload.encode()和.decode()
问题3:Tamper处理后语法错误
- 调试命令:
sqlmap --tamper=your.py --sql-query="SELECT 1" - 技巧:在脚本中加入
print(f"处理前: {payload}\n处理后: {retVal}")
5. 防御视角的Tamper对抗
作为防守方,我建议采用多层过滤策略:
- 基础层:预处理(如强制参数类型)
- 中间层:正则过滤(如
/(\bselect\b|\bunion\b)/i) - 深层:语义分析(检测非常规空格使用)
特别要注意异常流量监控,比如:
- 短时间内大量
LIKE语句 - 混合多种空白字符的请求
- 异常编码参数
某次内部演练中,我们通过监控/**/注释的使用频率,成功识别了自动化攻击工具。