Oracle——显错注入和报错注入

最新推荐文章于 2024-07-25 15:39:38 发布
最新推荐文章于 2024-07-25 15:39:38 发布
阅读量233 收藏
点赞数
分类专栏: 学习笔记 文章标签: oracle 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46140380/article/details/120232291
版权

一、注入函数解析

数据库语言大同小异

  • oracle 甲骨文公司
    • 使用免费的数据库 服务收费
  • http://59.63.200.79:8808/index_x.php
    • 这个网址提供了,Oracle的数据库接口,我们就可以直接用这个,而不用自己搭建了。

请添加图片描述

  • dual这个是一个虚表,是不存在的,是为了专门满足格式而存在的一个表。
    • Oracle 很死板 非常讲究语法格式
  • 因为你Oracle不像mysql一样,后面不加表也行,他是必须加个表名满足格式,但是为了方便就提供了dual这个表。

二、报错注入+联合查询(union all)

1.查询当前用户名

select user from dual 查询当前用户名等同于库名

  • Oracle =>
    • Oracle弱化了库的概念,强化了用户的概念。就是说把库换成了用户来查询数据
    • 一个用户代表一个库
      请添加图片描述

2.查询表名

2.1查询所有表名

select * from all_tables
请添加图片描述

2.2查询当前用户表名

select * from user_tables
请添加图片描述

3.查询字段名

3.1查询出所有字段

select * from all_tab_columns

最低0.47元/天 解锁文章
Mr.Huang__
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【漏洞挖掘】——116、GeometryCollection报错注入
Fly_鹏程万里
06-25 51
本篇文章我们主要对报错注入的原理进行了介绍,同时对报错注入的几种常见方式、函数,手工注入语句进行了演示介绍~其余的依次变量limit x,y中的x的值来获取表名信息即可~其余的依次变量limit x,y中的x的值来获取表名信息即可~
【漏洞挖掘】——115、multilinestring报错注入
Fly_鹏程万里
06-21 52
其余的依次变量limit x,y中的x的值来获取表名信息即可~其余的依次变量limit x,y中的x的值来获取表名信息即可~这里以Less-05为例做演示~
oracle——显错注入报错注入
qq_45300786的博客
08-14 835
http://59.63.200.79:8808/index_x.php 这个网址提供了,Oracle数据库接口,我们就可以直接用这个,而不用自己搭建了。 dual这个是一个虚表,是不存在的,是为了专门满足格式而存在的一个表。 因为你Oracle不像mysql一样,后面不加表也行,他是必须加个表名满足格式,但是为了方便就提供了dual这个表。 Oracle弱化了库的概念,强化了用户的概念。就是说把库换成了用户来查询数据。 oracle里面有多个条数据,他就排序多少个rownum,有点像mysql里的i
2024年鸿蒙最新干货 Oracle注入和漏洞利用姿势总结(1),2024年最新移动端h5页面适配
2401_84851126的博客
05-15 297
用户权限是执行特定类型的 SQL 语句或访问其他用户对象的权利,Oracle 中的权限可以分为系统权限和对象权限。前者是系统规定用户使用数据库的权限,后者是用户对其自己的表或视图的存取修改权限。Oracle 有超过 100 种不同的系统权限,只有实例管理员或具有 ADMIN 特权的用户才能授予或撤销系统特权,关于每种系统权限的细节,请读者自行查阅其官方文档:System privileges角色相当于一个用户组,其将多个权限和角色组合在一起,以便可以同时向用户授予和撤销它们。
Oracle注入——报错注入
m0_55854679的博客
02-19 2734
SQL注入之重新认识 文章目录Oracle数据库dual表数据库语句报错注入函数解析练习 Oracle数据库 一般大公司用的多,很贵,环境搭建复杂且大,数据库死板,非常讲究语法格式,区分大小写,数据类型很多。dual虚表,专门用来满足oracle数据库严格的语法格式,为凑格式所存在。一般数据库强调库、表名、字段、内容,但Oracle数据库种库被弱化,用户被强化,一个用户代表一个库。 dual表 Dual是一个实表(也有人说它是虚表),如果你直接查询它,它只显示一个X,列名为DUMMY,那么要它有什么用呢?
SQL注入漏洞——联合查询注入报错注入
goldfish8848的博客
07-23 701
本篇我们继续来深入SQL注入漏洞有个困扰计算机多年的问题,就是“没法总是分清数据和指令”,这就是SQL注入的本质,这就是自然语言的弊端,即使是人类有时也分不清楚,密码是“12345678”还是“2444666668888888”。再来回顾一下SQL注入是如何产生的:Web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把SQL语句带进数据库进行查询。
14-Web安全——基于Oracle的联合注入报错注入,盲注
网络安全
07-16 1202
目录 1. 基于ORACLEsql注入 2. 联合注入 3. 报错注入 1. 基于ORACLEsql注入 ORACLE是一个关系型数据库,一般会在用户下面生成自己的数据库表,它没有数据库的概念,每个登陆的用户都会有属于自己独立的数据库,不同用户看到的数据库表也不同。 举个例子,如果使用不同用户登陆ORACLE数据库的话,就会看到属于当前用户的数据库: 例如,如果使用ORACLE的系统管理员system用户登陆会看到很多的数据库表,并且这些数据库表只有在登陆system...
【漏洞挖掘】——111、polygon报错注入深入刨析
Fly_鹏程万里
06-21 50
其余的依次变量limit x,y中的x的值来获取表名信息即可~其余的依次变量limit x,y中的x的值来获取表名信息即可~这里以Less-05为例做演示。
【漏洞挖掘】——112、linestring报错注入深入刨析
Fly_鹏程万里
06-21 38
其余的依次变量limit x,y中的x的值来获取表名信息即可~其余的依次变量limit x,y中的x的值来获取表名信息即可~
【漏洞挖掘】——114、multipolygon报错注入刨析
Fly_鹏程万里
06-21 51
其余的依次变量limit x,y中的x的值来获取表名信息即可~其余的依次变量limit x,y中的x的值来获取表名信息即可~这里以Less-05为例做演示~
Oracle爆错手工注入.doc
04-05
手工注入方式,利用报错注入 Oracle
Oracle也有注入漏洞
12-16
在这个案例中,X网的网站使用了Oracle数据库,并且由于在处理用户输入时没有充分验证和过滤,导致了SQL注入漏洞的存在。 攻击者首先通过尝试性输入带有特殊字符的参数,如单引号,触发了Oracle数据库的错误响应,...
oracle 不存在dual情况下注入.doc
07-18
根据提供的文档标题、描述、标签以及部分内容,本文将围绕Oracle数据库中的SQL注入技术进行深入解析,特别是当目标系统中不存在`dual`表时如何进行有效的数据挖掘。 ### Oracle SQL注入基础 在讨论具体的技术细节...
oracle sql in 连接大于1000报错解决办法
04-02
oracle sq 使用l in 连接大于1000情况下报错解决办法。
提交高通量测序处理数据到 GEO --- 操作流程
weixin_45851732的博客
07-25 913
Metadata 是指有关研究、样本、方法以及对 processed data 和 raw data 文件名的引用的描述性信息。:描述信息,可选的,其他选项中没有提供的额外信息。或者,如果您提交的矩阵包含多个样品的 processed data (例如,所有 RNA-Seq 样品的 Counts.txt),请在此处列出矩阵列名称。:必填项,UCSC或NCBI基因组构建号(例如,hg18、mm9、human NCBI genome build 36 ...),或用于 read 比对的参考序列。
布尔盲注——多种方式实现及利用burpsuite爆破
最新发布
m0_74312676的博客
07-25 868
当我们改变前端页面传输给后台sql参数时,页面没有显示相应内容也没有显示报错信息时,页面呈现出两种状态,正常或者不正常。根据这两种状态可以判断我们输入的语句是否查询成功。不能使用联合查询注入报错注入,这时我们可以考虑是否为基于布尔的盲注。
mysql常用命令
p_s_p的博客
07-22 1484
mysql常用命令
分布式缓存获取以及设置
小灰~的博客
07-25 346
redisUtils 为redis工具类,例如:设置缓存获取缓存等等。redisLockClient 为:RedisLockClient 的分布式锁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值