0x01 背景

oracle与mysql特性类似,半自动化fuzz了一下,记录成果。

0x02 测试

位置一:参数和union之间的位置

1)空白字符

Oracle中可以利用的空白字符有: %00  %09 %0a  %0b %0c  %0d  %20

2)注释符号/**/

3)其他字符

%2e  .   点号

位置二:union和select之间的位置

1)空白字符

Oracle中可以利用的空白字符有: %00  %09 %0a  %0b %0c  %0d  %20

2)注释符号/**/

位置三:select和查询参数之间的位置

1)空白字符

Oracle中可以利用的空白字符有: %00  %09 %0a  %0b %0c  %0d  %20

2)注释符号/**/

3)其他字符

%2b  +

%2d   -

%ad

select * from emp where mgr=7782   union select+NULL,(SELECT banner FROM v$version where rownum=1),NULL,NULL,NULL,NULL,NULL,NULL FROM DUAL

位置四:查询参数和from之间的位置

1)空白字符

Oracle中可以利用的空白字符有: %00  %09 %0a  %0b %0c  %0d  %20

2)注释符号/**/

位置五:from后面的位置

1)空白字符

Oracle中可以利用的空白字符有: %00  %09 %0a  %0b %0c  %0d  %20

2)注释符号/**/

原文:http://www.cnblogs.com/xiaozi/p/6930980.html

waf旁路oracle客户端,WAF Bypass数据库特性(Oracle探索篇)相关推荐

  1. win7 64位系统oracle客户端访问远程数据库

    今天将win7 64位系统oracle客户端访问远程数据库配置成功,由于我用的是64位的win7操作系统,在网上查了很多资料都说在64位系统下oracle客户端配置很复杂,于是自己亲手试了一下成功了, ...

  2. oracle提交数据按键,Oracle PLSQL - 仅提交数据库链接(Oracle PLSQL - Commit only database link)...

    Oracle PLSQL - 仅提交数据库链接(Oracle PLSQL - Commit only database link) 有没有办法只通过数据库链接而不是当前会话的数据提交在表上插入/更新的 ...

  3. 免安装Oracle客户端使用PL/SQL连接Oracle

    免安装Oracle客户端使用PL/SQL连接Oracle       大家都知道,用PL/SQL连接Oracle,是需要安装Oracle客户端软件的.有没要想过不安装Oracle客户端直接连接Orac ...

  4. WAF Bypass数据库特性(Mysql探索篇)

    0x01 背景 Mysql数据库特性探索,探索能够绕过WAF的数据库特性. 0x02 测试 常见有5个位置即:   SELECT * FROM admin WHERE username = 1[位置一 ...

  5. oracle 客户端_【数据库 常见术语1】 客户端,服务端

    这个系列会介绍并回顾在学习和工作中常碰到的一些名词,以及它们的意思. 客户端,服务端(以Oracle数据库为例) ******************************************* ...

  6. Windows端安装Oracle客户端并配置服务、Oracle数据库备份还原以及修改数据库编码

    配置客户端服务 1.安装Oracle客户端步骤省略... 2.点击[开始菜单]-> [Oracle] -> [Net Configuration Assistant] 3.[本地 Net ...

  7. 不同版本的Oracle客户端支持的数据库版本

    下表简单介绍不同版本的客户端支持的数据库版本 Client 版本 支持的数据库版本 18和12.2 11.2及以上版本 12.1 10.2及以上版本 11.2 9.2及以上版本

  8. linux下安装oracle客户端,实现远程连接oracle库,导出数据表

    工作中用到不安装oracle服务端,只安装客户端. 一:首先要到下载rpm包,使用如下,命令安装 rpm -ivh oracle/oracle-instantclient11.2-basic-11.2 ...

  9. oracle客户端没有tnsnames,安装好Oracle Client以后没有tnsnames.ora文件

    安装好Oracle Client以后没有tnsnames.ora文件 安装完Oracle Client以后,发现相应目录中没有tnsnames.ora文件,其实只要手动建立一个就可以了. 在 orac ...

  10. plsql必须安装oracle客户端吗,不安装oracle客户端,用plsql连接oracle

    工具连接:http://pan.baidu.com/s/1nvbWlqL 常用的Oracle开发的工具有sql Developer和PL/sqlDeveloper,个人感觉前者虽然跨平台性优于后者,但 ...

最新文章

  1. 新装Ubuntu18.04系统配置PX4环境
  2. pyinstaller打包pyqt文件(转)
  3. Sublime Text编辑工具带有 PEP 8 格式检测插件
  4. php流程控制作业题,php流程控制
  5. 【昇腾学院】昇腾AI处理器软件栈--框架管理器(Framework)离线模型生成
  6. 绝地求生2月19服务器维护,绝地求生2月19日停机维护几点结束_2020绝地求生2月19日开服时间介绍_求知软件网...
  7. 三年级下册计算机课程工作计划,三年级下册信息技术教学工作计划
  8. javascript语言
  9. activitymq 登录界面地址
  10. 【超实用精选】设计师必备的设计资源网站合集
  11. sierpinski三角形的维数_神奇的分形艺术(二):Sierpinski三角形
  12. C++:缺省参数是怎样设置的?
  13. 面包屑导航html页面,react怎么实现面包屑导航
  14. heka 输出到mysql_让Heka支持lua的io操作和os操作
  15. Cesium 视频融合,边缘模糊
  16. Element ui 表单验证触发方式:trigger的两种选项
  17. 60mph和kmh换算_mph和kmh换算(mph换算器)
  18. 小程序开发.云数据库
  19. 辽宁师范大学计算机科学技术与,王相海 - 辽宁师范大学 - 计算机与信息技术学院...
  20. 2016年3月15日Android实习日记

热门文章

  1. 21Iterator(迭代器)模式
  2. 剑指offer第二版答案详细版(带详细解题思路)
  3. 鉴智机器人高薪诚聘 | 3D视觉、SLAM、SLAM/VIO融合定位算法工程师等多个岗位
  4. 全球首个开源图像识别系统上线了!人脸、商品、车辆识别一网打尽!
  5. Lidar-RCNN:基于稀疏点云的3D目标检测网络(CVPR2021)
  6. CenterFusion:融合雷达与摄像头数据的高精度3D目标检测
  7. 重磅直播|慕尼黑工业大学博士详解室内SLAM中的几何约束
  8. 51篇最新CV领域综述论文速递!涵盖14个方向:目标检测/图像分割/医学影像/人脸识别等方向...
  9. Windows10下安装Anaconda3(附带python3.7.9)+Tensorflow2.0.0+Pycharm
  10. matplotlib.pyplot中add_subplot方法参数的含义