【小迪安全】Day15web漏洞-SQL注入之Oracle，MongoDb等注入

web漏洞-SQL注入之Oracle，MongoDb等注入

前言

​ 介绍了access，oracle，mangodb，mssql，postgresql等数据库的注入方法以及部分工具的使用。

工具使用

sqlmap

​ 项目地址：https://github.com/sqlmapproject/sqlmap。使用教程可参考：https://blog.51cto.com/u_15127606/4347777。

# 常见使用步骤
step1：sqlmap -u ["URL"] //测试是否存在注入
step2：sqlmap -u ["URL"] -current-db //查询当前数据库
step3：sqlmap -u ["URL"] -D ["数据库名"] --tables //查询当前数据库中的所有表
step4：sqlmap -u ["URL"] -D ["数据库名"] -T ["表名"] --columns //查询指定库中指定表的所有列(字段)
step5：sqlmap -u ["URL"] -D ["数据库名"] -T ["表名"] -C ["列名"] --dump //打印出指定库中指定表指定列中的字段内容
step5/或者：sqlmap -u ["URL"] -D ["数据库名"] -T ["表名"] --dump //打印出指定库中指定表指定列中的字段内容

NoSQLMAP

​ 项目地址：https://github.com/codingo/NoSQLMap。

数据库类型注入

Access

​ 使用墨者的靶场做例子。SQL手工注入漏洞测试(Access数据库)。

MangoDb

​ 以墨者靶场为例，SQL手工注入漏洞测试(MongoDB数据库)。MongoDb中文文档：https://www.docs4dev.com/docs/zh/mongodb/v3.6/reference/reference-method-db.getCollection.html。和Mysql语句对应：https://blog.csdn.net/qq_27093465/article/details/51700435。

### 来源：https://blog.csdn.net/qq_27093465/article/details/51700435
左边是mongodb查询语句，右边是sql语句。对照着用，挺方便。
db.users.find() select * from users
db.users.find({"age" : 27}) select * from users where age = 27
db.users.find({"username" : "joe", "age" : 27}) select * from users where "username" = "joe" and age = 27
db.users.find({}, {"username" : 1, "email" : 1}) select username, email from users
db.users.find({}, {"username" : 1, "_id" : 0}) // no case  // 即时加上了列筛选，_id也会返回；必须显式的阻止_id返回
db.users.find({"age" : {"$gte" : 18, "$lte" : 30}}) select * from users where age >=18 and age <= 30 // $lt(<) $lte(<=) $gt(>) $gte(>=)
db.users.find({"username" : {"$ne" : "joe"}}) select * from users where username <> "joe"
db.users.find({"ticket_no" : {"$in" : [725, 542, 390]}}) select * from users where ticket_no in (725, 542, 390)
db.users.find({"ticket_no" : {"$nin" : [725, 542, 390]}}) select * from users where ticket_no not in (725, 542, 390)
db.users.find({"$or" : [{"ticket_no" : 725}, {"winner" : true}]}) select * form users where ticket_no = 725 or winner = true
db.users.find({"id_num" : {"$mod" : [5, 1]}}) select * from users where (id_num mod 5) = 1
db.users.find({"$not": {"age" : 27}}) select * from users where not (age = 27)
db.users.find({"username" : {"$in" : [null], "$exists" : true}}) select * from users where username is null // 如果直接通过find({"username" : null})进行查询，那么连带"没有username"的纪录一并筛选出来
db.users.find({"name" : /joey?/i}) // 正则查询，value是符合PCRE的表达式
db.food.find({fruit : {$all : ["apple", "banana"]}}) // 对数组的查询, 字段fruit中，既包含"apple",又包含"banana"的纪录
db.food.find({"fruit.2" : "peach"}) // 对数组的查询, 字段fruit中，第3个(从0开始)元素是peach的纪录
db.food.find({"fruit" : {"$size" : 3}}) // 对数组的查询, 查询数组元素个数是3的记录，$size前面无法和其他的操作符复合使用
db.users.findOne(criteria, {"comments" : {"$slice" : 10}}) // 对数组的查询，只返回数组comments中的前十条，还可以{"$slice" : -10}， {"$slice" : [23, 10]}; 分别返回最后10条，和中间10条
db.people.find({"name.first" : "Joe", "name.last" : "Schmoe"})  // 嵌套查询
db.blog.find({"comments" : {"$elemMatch" : {"author" : "joe", "score" : {"$gte" : 5}}}}) // 嵌套查询，仅当嵌套的元素是数组时使用,
db.foo.find({"$where" : "this.x + this.y == 10"}) // 复杂的查询，$where当然是非常方便的，但效率低下。对于复杂查询，考虑的顺序应当是 正则 -> MapReduce -> $where
db.foo.find({"$where" : "function() { return this.x + this.y == 10; }"}) // $where可以支持javascript函数作为查询条件
db.foo.find().sort({"x" : 1}).limit(1).skip(10); // 返回第(10, 11]条，按"x"进行排序; 三个limit的顺序是任意的，应该尽量避免skip中使用large-number

postgresql

​ 以墨者靶场为例，SQL手工注入漏洞测试(PostgreSQL数据库)。

mssql

​ 以墨者靶场为例，SQL手工注入漏洞测试(Sql Server数据库)。mssql注入参考链接：https://www.kancloud.cn/noahs/src_hacker/2395003。

oracle

​ 以墨者靶场为例，SQL手工注入漏洞测试(Oracle数据库)。

# 这关试了好几种合并多行数据的方法最后还是没能一次性爆出来所有的数据，已经本地搭建环境测试过是可以正常跑的语句，怀疑是代码那边做了限制
# 本地版本是11.2.0.1.0，墨者靶场版本是11.2.0.2.0，应该差不多，而且墨者版本还更高，没理由不支持语句，怀疑是代码那边做了限制
1、select wmsys.wm_concat(table_name) as table_name from all_tables where rownum<2; #有长度限制
2、select listagg(table_name,',') within group(order by table_name) from all_tables where rownum < 3; #有长度限制
3、select xmlagg(xmlelement(E, table_name || ',') order by table_name).extract('//text()').getclobval() as ttt from all_tables；#没有长度限制
4、select rtrim(xmlagg(xmlparse(content table_name || ',' wellformed) order by table_name ).getclobval(),',') ddd from all_tables; #没有长度限制

# 只能改用类似offset的方法来一个个找了
select table_name from (select rownum no,t1.table_name from all_tables t1 where t1.table_name like '%user%') t2 where t2.no>0 and t2.no<2;