实验一:Oracle数据库版本查询
实验要求:通过SQL注入显示后台数据库Oracle版本信息
探查查询列数量
探查查询列类型(注意Oracle数据库执行查询时必须附加表名,因此from dual不可遗漏,Oracle保证数据库中存在dual表以便于构成查询语句)
注入显示版本号,完成实验
实验二:MySQL和Microsoft数据库版本查询
实验要求:通过SQL注入显示后台数据库版本信息
探查查询列数量(后面的a是因为HackBar插件会忽略最后的空格,因此需要添加一个任意字符使得注释符生效)
探查查询列类型
注入显示版本号,完成实验
实验三:利用SQL注入在非Oracle数据库中检索数据内容
实验目标:检索数据库内容查找administrator账户信息并登录
注入列数探查
探查查询列类型
注入查询数据库表名,记录表名信息
开启burpsuite监听,查询列名
将proxy记录的请求信息发送到Intruder模块,配置payload
设置提取信息,方便结果查找
将结果显示到浏览器中
记录相关列名
查询具体数据内容
成功登录以完成实验
实验四:利用SQL注入在Oracle数据库中检索数据内容
实验目标:检索数据库内容查找administrator账户信息并登录
注入列数探查
探查查询列类型
注入查询数据库表名,记录表名信息
开启burpsuite监听,查询列名
与上一实验一样配置Intruder进行攻击,爆破结果
依次查看符合要求的请求,发送请求获取最终有效账户信息
成功登录以完成实验
总结
SQL注入中获取数据信息的技巧是很多的,本文仅仅介绍了一些基础语句,更多的内容小伙伴们可以自己进行搜集验证