平时遇到oracle注入的情况不是很多,今天遇到一处oracle注入的延时型注入,简单记录一下。
测试和漏洞挖掘中,通过页面响应时间状态,通过这种方式判断SQL是否被执行的方式,便是延时性注入,oracle延时性注入和其他的数据库不同,oracle的时间盲注通常使用DBMS_PIPE.RECEIVE_MESSAGE(),也是通过sqlmap和网上师傅们的文章才知道的,当去手注的时候大脑一片空白,网上的资料也不是很多。
首先看一下官网对DBMS_PIPE.RECEIVE_MESSAGE()函数的介绍
即DBMS_PIPE.RECEIVE_MESSAGE(‘值’,延时时间),所以可以尝试如下:
从上已经可以看出是oracle延时性注入无疑了,根据sqlmap的结果,我们可以这样获取数据,以查询user为例:
由上可知user的第一位为“A”,其他的数据亦是不断盲注出来,最后结果为"ADMIN",不过网上师傅们还提出了另外一种方法,就是使用decode()或者使用decode()和DBMS_PIPE.RECEIVE_MESSAGE结合的方式进行延时性盲注,decode()的结构如下:
decode(条件,值1,返回值1,值2,返回值2,...,缺省值)
即可以判断数据后是否成立,成立则执行延时,即:
select decode(substr(user,1,1),'A',DBMS_PIPE.RECEIVE_MESSAGE('a',5) ,0) from dual
即user的第一位是"A"时,延时5秒执行。
第二位是"D"时,延时5秒:
其他数据原理相同。
over~