SQLMap中–tamper参数怎么用？

在渗透测试的实战中，SQLMap 已经成为自动化注入的标配，而 --tamper 参数则是突破 WAF、过滤器甚至自定义编码的关键利器。很多新手在看到一串 tamper/*.py 脚本时会疑惑：到底该怎么挑，怎么配合其它选项才能让 payload 顺利穿透？下面从原理、常用脚本到实际命令，层层拆解它的使用方法。

tamper 参数的定位与原理

SQLMap 在生成每一条注入 payload 前，会先把原始的 parameter=value 交给指定的 Python 脚本进行“篡改”。这些脚本可以对字符进行 URL 编码、十六进制转义、大小写混淆，甚至加入自定义的加密算法。WAF 多数基于特征匹配，一旦 payload 被“变形”，规则往往失效，从而让真正的注入语句得以执行。

常用 tamper 脚本速览

• space2comment.py – 把空格替换为 /* */ 注释，常规空格过滤失效。
• between.py – 将 AND、OR 转为 BETWEEN 形式，规避关键字过滤。
• charencode.py – 把字符转为十进制或十六进制 xNN，适合字符集限制的场景。
• randomcase.py – 随机大小写混写，突破大小写敏感的白名单。
• base64encode.py – 将 payload 整体 Base64 编码后再解码执行，针对深度加密的防护。

在命令行中调用的实际写法

sqlmap -u "http://test.com/search.php?id=1" 
    --tamper=space2comment.py,randomcase.py 
    --level=3 --risk=2 
    -p id --batch

这里使用了两个脚本的组合：先把空格变为注释，随后再对大小写进行随机化。--level 与 --risk 提升检测深度，-p 明确指定要注入的参数，--batch 保证全程非交互。

实际使用时，常见的坑包括：脚本之间的顺序会影响最终 payload；某些脚本只在特定 DBMS 下有效；以及在高并发扫描时，过多的篡改会导致响应时间显著增长。遇到响应异常时，建议逐个剔除脚本定位根因，或者配合 --skip 排除不需要测试的参数。

如果目标站点使用了自研的过滤规则，不妨先用 --tamper=base64encode.py 试探，再结合 --technique=BEUSTQ 调整注入方式，往往能在意想不到的地方打开后门。