Oracle-报错注入

最新推荐文章于 2023-04-01 02:00:33 发布
最新推荐文章于 2023-04-01 02:00:33 发布
阅读量592 收藏 1
点赞数
分类专栏: 渗透测试 文章标签: 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45634365/article/details/114388585
版权
本文介绍了Oracle数据库的基础知识,强调了其在金融领域的广泛应用。接着解析了Oracle中的注入函数,特别是报错注入的原理,并提供了防御Oracle注入的策略,包括输入校验、避免动态SQL、权限管理和异常处理等措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、Oracle数据库简介

Oracle数据库系统,是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是一种关系数据库,数据库体量较大,一般与jsp网站联合。

常见的数据库:MySQL、MSSQL、Access、Oracle

Oracle使用免费,但如果使用中的数据库遇到了问题,例如数据丢失、数据库打不开等等,想要解决问题,就必须寻找Oracle官方的服务,而服务价格不菲,而这就是Oracle的盈利方式。

Oracle比MySQL、MSSQL、Access更为先进,对大数据的处理能力更强大,银行、证券等与金融有关的数据库很大一部分都是Oracle,但随着近几年掀起的反Oracle浪潮,渐渐地有一部分公司开始使用MySQL,按照这个趋势,以后MySQL会越来越多,Oracle会越来越少,同时,在公司上市前使用Oracle是免费的,但上市之后,Oracle就会收费,否则就会起诉该公司。

当然,Oracle的市场份额还是相当高的。

二、注入函数解析

Oracle使用查询语句获取数据时需要添加表名,没有表的情况下可以使用dual,dual是Oracle的虚拟表,只是用来构成select的语法规则。

dual是Oracle所特有的。

#MySQL容错性较强,可以不构成严谨的结构
select 1,2,3

#Oracle语法规则较为严谨
#dual是一个为了满足语法结构而产生的表
select 1,2,3 from dual 

#如果直接查询dual,它只显示一个X,列名为DUMMY
select * from dual

Oracle弱化了库的概念,将其转化为了用户、表、字段、字段内容,可以简单地将用户类比为库。

#Oracle有许多的系统函数

#查看当前登录的用户名
#user是Oracle的关键字
#写其他存在与Oracle中的表名,一样可以查询出当前的用户名
select user from dual
select user from admin

#可以进行运算
select 10-1 from dual

#dbms_random.random是Oracle的系统函数,
最低0.47元/天 解锁文章
《网络安全自学教程》- SQL注入报错注入原理+步骤+实战操作
wangyuxiang946的博客
03-07 1万+
这篇文章为大家解析报错注入的实现原理,结合实战案例讲解报错注入的使用步骤。
80.网络安全渗透测试—[SQL注入篇19]—[Oracle+JSP-9种报错注入]
qwsn
01-20 2859
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、Oracle+JSP 报错注入:`9种` 1、utl_inaddr.get_host_name()进行报错注入 2、ctxsys.drithsx.sn()进行报错注入 3、XMLType()进行报错注入 4、dbms_xdb_version.checkin()进行报错注入 5、bms_xdb_version.makeversioned()进报错注入 6、dbms_xdb_version.uncheckout()进行报
Oracle注入——报错注入
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-20 1855
Oracle注入——报错注入 原理:同MYSQL数据库差不多,但是一些语法不同,相比其他数据库,Oracle数据库的数据类型更加严谨,由于过度严谨,所以,我们用显错注入,会比较麻烦,于是,我们利用报错的方法,忽视数据类型,直接获取数据CTXSYS.DRITHSX.SN(user,()) Dual是一个实表(也有人说它是虚表),如果你直接查询它,它只显示一个X,列名为DUMMY 那么要它有什么用妮? 它实际上是为了满足查询语句的结构而产生 比如你想查询你的用户名 select user from Dual
Oracle -- 报错注入
qq_68233961的博客
08-21 1010
Oracle -- 报错注入
Oracle数据库--报错注入
Y22Lee的博客
04-01 1409
SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。dual 是Oracle库中特有的一个单行单列的虚拟表,Oracle中的一个实际存在的表,任何用户均可读取,常用在没有目标表的Select语句块中。Oracle中弱化了库的概念,用户被强化,即:通俗的讲一个用户一个库。利用子查询和别名,将数据的编号固定住,这样修改r的值即可取出对应的第几条数据。r=1取第一条数据,r=2取第二条数据。利用子查询和别名,将数据的编号固定住,这样修改r的值即可取出对应的第几条数据。
封神台Oracle注入- 报错注入
qq_40941912的博客
10-05 1118
一、原理 跟MySQL的注入一样,都是程序原本要执行的sql语句拼接了用户输入的语句,导致出现了不该出现的数据。不同的数据库使用的函数不同,Oracle使用的是ctxsys.drithsx.sn函数实现报错注入。 二、作业 Oracle注入- 报错注入 (Rank: 5) 在id=1 后添加and 1=1 发现页面可以正常显示,推断此处可能存在注入点 通过报错注入函数查询当前表名:and 1=ctxsys.drithsx.sn(1,(select table_name from user_tabl
Oracle报错注入靶场
weixin_45540609的博客
04-23 713
存在5个字段 union select null,null,null,null from dual union select 1,null,null,100 from dual union select 1,to_nchar('aaa'),to_nchar('bbb'),100 from dua l union select 1,to_nchar(table_name),to_nchar('bbb'),null from user_tables 表名admin ...
19、注入--报错注入Oracle
WX公众号-小白学安全
04-10 1145
Oracle概述 1、Oracle数据库属于甲骨文公司,关系型数据库管理系统,数据库 2、讲究语法严谨 select 字段名 from 表名 3、dual表—>虚表 专门用于满足数据库语句结构的表 大部分数据库是数据敏感大小写,语句是不敏感大小写 4、Oracle系统自带表: 没有库的概念,只有用户的概念 查询出所有的表: select from all_tables 查询用户所创建的表:select from user_tables 查询所有的字段:select from all_tab_colum
oracle报错注入
笔墨稠思
11-25 2322
Oracle报错注入原理 通过ctxsys.drithsx.sn(user,查询语句)函数来根据页面报错获取我们需要的内容 注意事项: 1.oracle数据库在查询时,必须写表名,如果表不存在可以使用虚表 dual 2.Oracle数据库的字段数据类型是强匹配,必须保持数据类型相同 3.Oracle系统表 all_tables、user_tables、all_tab_columns、user_tab_columns 4.oracle限制查询结果返回的数量用rownum 靶场:http://59.63.2
【学习笔记】Oracle报错注入
chualam的博客
11-17 295
||utl_inaddr. get_host_name id=1||utl_inaddr. get_host_name((select banner from v$version where rownum=1)) 爆数据库版本 id=1||utl_inaddr. get_host_name((select owner from all_tables where rownum=1)) 爆库名 id=1||utl_inaddr. get_host_name((select owner from all_tabl
oracle报错注入的一些函数
weixin_34090562的博客
02-19 641
oracle 报错注入 select dbms_xmltranslations.extractxliff((select banner from sys.v_$version where rownum=1)) from dual --爆数据库版本号 select dbms_xdb_version.checkin((select banner from sys.v_$version...
Oracle注入--报错注入
weixin_52351575的博客
10-02 977
一般大公司用的多,很贵,环境搭建复杂且大,数据库死板,非常讲究语法格式,区分大小写,数据类型很多。dual虚表,专门用来满足oracle数据库严格的语法格式,为凑格式所存在。一般数据库强调库、表名、字段、内容,但Oracle数据库种库被弱化,用户被强化,一个用户代表一个库。
网络安全零基础入门(第六章-5)Oracle注入——报错注入
素笺
04-09 246
每日一句:没有学不会的东西,只有不努力的man 本篇内容:注入函数解析      报错注入+联合查询(union all)      实战注意 一、注入函数解析 1.提示:     Oracle注入比较麻烦,有点小难要有心理准备,原因是Oracle数据库本身比较复杂           2.报错注入原理     报错注入是通过特殊函数错误使用并使其输出错误结果来获取信息的。          ...
Oracle注入
秋水的博客
09-03 6584
Oracle数据库 Oracle数据库也是一种关系数据库,此数据库体量较大,一般与jsp网站联合 既然是关系数据库,肯定也是存在一些关系表,在Oracle数据库中,库的概念被淡化,强调用户 Oracle注入之联合查询 注入原理 其注入原理与MySQL一致,都是基于回显的注入,通过union all select来获取我们想要的数据 引入知识 dual表,此表是Oracle数...
数据库注入学习笔记4---Oracle注入(报错注入)
qq_41759633的博客
08-07 654
先看以下不同: Dual Oracle中的系统表 rownum=1 与limit相似 and table name<>‘ADMIN’ 暂时理解为排除某个表或者字段 使用 ?id=1’ 产生报错信息 使用 ctxsys.brithsx.sn() 进行报错注入 查询库名 查询表名 把admin排除查询第二个表,同样的把查询出来的NEWS排除得到第三个...
oracle——显错注入报错注入
qq_45300786的博客
08-14 904
http://59.63.200.79:8808/index_x.php 这个网址提供了,Oracle的数据库接口,我们就可以直接用这个,而不用自己搭建了。 dual这个是一个虚表,是不存在的,是为了专门满足格式而存在的一个表。 因为你Oracle不像mysql一样,后面不加表也行,他是必须加个表名满足格式,但是为了方便就提供了dual这个表。 Oracle弱化了库的概念,强化了用户的概念。就是说把库换成了用户来查询数据。 oracle里面有多个条数据,他就排序多少个rownum,有点像mysql里的i
Oracle数据库中的“limit”查询
qq_58000413的博客
07-07 5532
注意:仅用于技术讨论,切勿用于其他用途,一切后果与本人无关。都知道limit函数适用于mysql数据库,在Oracle数据库中无法使用,当需要使用到分页查询时,我们可以用其他的方法进行代替。Oracle数据库中区分单双引号方法一:不等于法(通用法)select * from user_tab_columns where table_name='ADMIN' and rownum = 1 and column_name'UNAME'使用不等于号进行取反,这里的rownum=1输出的是一行,想输出两行可ro..
oracle注入报错500
05-26
Oracle注入报错500一般表示服务器端出现了内部错误,可能与注入攻击有关,但也可能是其他原因导致的。要解决此问题,可以尝试以下步骤: 1. 检查注入语句是否正确,是否存在语法错误或拼写错误等问题。 2. 检查注入...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

弈-剑

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值