敏感数据只是我们想要的一部分，通常直接杀入oracle可能更有吸引力，这个时候查看系统的信息就非常地有价值了，对注射的灵活运用也非常重要。oracle在启动之后，把系统要用的一些变量都放置到一些特定的视图当中，可以利用这些视图获得想要的东西。通常非常重要的信息有

　　1 当前用户权限 (select * from session_roles)

　　2 当前数据库版本 (select banner from sys.v_$version where rownum=1)

　　3 服务器出口IP (用utl_http.request可以实现)

　　4 服务器监听IP (select utl_inaddr.get_host_address from dual)

　　5 服务器操作系统 (select member from v$logfile where rownum=1)

　　6 服务器sid (远程连接的话需要，select instance_name from v$instance;)

　　7 当前连接用户 (select SYS_CONTEXT ('USERENV', 'CURRENT_USER') from dual)

　　知道上面这些之后就可以大致清楚服务器是在外网还是内网，支不支持远程连接，如果支持远程连接就可以尝试用默认的密码和刚得到的sid登陆了，在获得本地的权限之后，就可以尝试利用众多的包里面存在的注射提升权限了，在http://www.milw0rm.com/搜索oracle关键字可以找到很多这样的漏洞。

　　如果是远程并且不允许连接的的话，我们还是可以利用包的sql注射的，我上面说可以做任何事的，可以利用一个注射点轻易获得shell。上面说到在oracle里的包注射分好几种，这里需要的就是pl/sql块的注射，这个注射允许直接执行多语句，所以我们可以在web注射里利用这个直接以sys的身份执行多条语句，如添加用户，创建自己的存储过程等等，几乎没有限制。但是系统的这种注射也是非常地少见，在06年被人公布过一个，也就是SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES，具体的漏洞可以不了解，我也没有找到细节，后面有我做的一些简单黑盒分析，对于我们也只需要知道这是系统里存在的一个存储过程的pl/sql注射，可以导致执行多语句就可以了，而且oracle的补丁机制还不是很完善，基本上不会有管理员去patching这些，所以在我们看来就把这当作是系统提供的执行多语句的一个Hacking接口好了。如果你遇到一个sql注射本身就是在pl/sql里的话没，那么更要恭喜你了 :)

　　通过上面的几步基本让你可以获得你想要的东西，并且可以得到一个可以执行多语句的环境。在多语句执行的环境里，就可以利用oracle本身强大的功能，如支持java创建外部存储过程，支持utl_file包写文件等等，很方便地利用java写一个shell或者直接利用java包返回一个系统的shell。

　　四 真实世界里的注射

　　那么一个真实世界的注射应该是个什么样子呢?让我们试试如何从注射点来获得一个shell：)

　　首先，我们找到一个可能存在注射的页面，list.jsp?username=loveshell，我们添加一个'结果出错了，通过爆出的错误知道这是一个oracle的后台数据库，如含有ORA-xxxx这样的都是oracle，然后用语句：　　

list.jsp?username=loveshell' and ''||'1'='1 正常 　　list.jsp?username=loveshell' and ''||'2'='1 返回空 　　list.jsp?username=loveshell'--

　　这样可以知道是一个oracle的字符类型的注射点，那么我们就可以用这种方式插入自己的SQL语句了　

list.jsp?username=loveshell' and [我们的sql语句] --

　　这个时候我们就可以根据自己的目标考虑后续的入侵思路了，一种是向web方向发展，通过查询数据库的信息来渗透web，一种就是直接入侵数据库，当然，最完美的情况下是oracle和web是一台机器。先说说如何查询数据库里存储的信息吧!要想取得信息就要将信息反馈回来，一种是利用union查询，譬如这里我们的入侵手法类似于下面：　　

list.jsp?username=loveshell' order by 10 -- 错误，如果错误信息被反馈的话应该会出现xx coloum不存在之类的，字段数小于10 　　list.jsp?username=loveshell' order by 5 -- 正常显示，字段数大于5

　　最后发现到order by 8的时候错误，order by 7 就正常，说明是7个字段。注意这里，一般的时候，页面的逻辑很简单，所以可以这样order by猜测，但是如果这个参数进入了2个以上sql语句，里面结果的字段数不一，就难用这种方法了，当然，如果进入2个以上Sql语句的话，估计union查询也无法使用了，因为sql语句的前后字段数会不一，无法满足条件，后面我们将说到一种万能的获取数据的方法，这里先说比较直观的union查询。