1. SQL注入与Tamper脚本基础认知第一次接触CTF比赛中的SQL注入题目时我对着web206的界面发呆了半小时——明明手工测试存在注入点但用sqlmap跑就是不出数据。后来才发现这道题在SQL语句中增加了括号包裹参数就像SELECT * FROM users WHERE (id1)。这种细节差异正是CTF比赛的魅力所在也是Tamper脚本诞生的背景。Tamper脚本的本质是sqlmap的翻译官。当遇到特殊过滤规则时它能将标准payload翻译成符合目标要求的格式。比如空格被过滤用space2comment.py把空格变成/**/等号被屏蔽equaltolike.py会用LIKE替代关键词检测randomcase.py能随机大小写混淆我常把Tamper脚本比作特工装备——普通sqlmap是常规武器而Tamper就是针对特殊场景的伪装工具包。在web206中其实不需要特殊Tamper因为sqlmap会自动测试各种闭合方式单引号/双引号/括号等。但到了web207比赛方开始增加过滤规则这时候就需要装备上场了。2. 常见过滤场景与Tamper组合策略2.1 空格过滤的六种解法web207演示了最经典的空格过滤场景。除了题目使用的space2comment.py实战中还有这些替代方案# 用加号替代space2plus.py SELECTidFROMusers # 用水平制表符替代%09 SELECT%09id%09FROM%09users # 用换行符替代%0A SELECT%0Aid%0AFROM%0Ausers # 用内联注释space2comment.py SELECT/**/id/**/FROM/**/users # 多重空白multiplespaces.py SELECT id FROM users # 哈希符号space2mssqlhash.py SELECT%23id%23FROM%23users去年某次比赛中我遇到更变态的过滤——同时禁用空格和注释符。最终用%0B垂直制表符绕过这种冷门字符经常被WAF忽略。2.2 关键词混淆的艺术web208展示了关键词过滤的对抗。当select被替换为空字符串时使用randomcase.py生成像SeLeCt这样的随机大小写组合。但要注意MySQL在Linux下默认区分大小写Windows不区分可配合--no-escape关闭URL编码极端情况下需要自定义字符映射表我曾写过一个增强版脚本不仅随机大小写还会将s替换为$、e替换为ë等特殊字符这在某些国际编码环境中特别有效。3. 自定义Tamper开发实战3.1 基础模板解析所有Tamper脚本都遵循相同结构。以web209的myon.py为例#!/usr/bin/env python from lib.core.compat import xrange from lib.core.enums import PRIORITY __priority__ PRIORITY.LOW # 执行优先级 def dependencies(): # 依赖声明 pass def tamper(payload, **kwargs): retVal payload if payload: retVal # 核心处理逻辑... return retVal关键点在于tamper函数它接收原始payload返回处理后的字符串。开发时要特别注意保留引号内的内容不变处理嵌套符号时维护语法正确性避免引入新的敏感字符3.2 编码类Tamper开发web210的base64双重反转是个典型例子。其核心逻辑只有三行def tamper(payload, **kwargs): if payload: return base64.b64encode(base64.b64encode(payload[::-1])[::-1]).decode()但实际开发中要注意字符串与bytes类型转换encode()/decode()异常处理如非ASCII字符处理与其它Tamper的兼容性通过__priority__调整建议开发流程先用Python交互环境测试编码逻辑编写最小化Tamper脚本用--tamper your_script.py --test-filter局部测试最后整合到完整注入流程4. 高级绕过技巧与调试方法4.1 多重Tamper组合策略在web209中我们需要同时处理空格和等号过滤。这时可以组合多个Tamper--tampermyon.py,equaltolike.py执行顺序遵循按__priority__值从高到低同优先级按命令行顺序最后执行sqlmap自带的优化处理我曾遇到需要五个Tamper串联的情况这时候要特别注意避免循环处理如A脚本输出触发B脚本过滤使用--proxyhttp://127.0.0.1:8080配合Burp观察中间payload通过--test-stringTEST_VALUE验证最终效果4.2 常见报错解决方案问题1__init__.py missing错误原因自定义Tamper目录缺少初始化文件解决从sqlmap的tamper/目录复制__init__.py问题2TypeError: can only concatenate str (not bytes) to str原因Python 3中字符串与bytes混用解决统一使用payload.encode()和.decode()问题3Tamper处理后语法错误调试命令sqlmap --tamperyour.py --sql-querySELECT 1技巧在脚本中加入print(f处理前: {payload}\n处理后: {retVal})5. 防御视角的Tamper对抗作为防守方我建议采用多层过滤策略基础层预处理如强制参数类型中间层正则过滤如/(\bselect\b|\bunion\b)/i深层语义分析检测非常规空格使用特别要注意异常流量监控比如短时间内大量LIKE语句混合多种空白字符的请求异常编码参数某次内部演练中我们通过监控/**/注释的使用频率成功识别了自动化攻击工具。