Oracle SQL-Injection 'UNION BASED'
Hai sobat pixel selamat weeekend, yups udah lama nggak pernah update lagi nih ya hehe maap mimin jarang update post maklum sibuk hehe. Berhubung weekend langsung saja pada kesempatan kali ini gue mau membagikan tutorial tentang SQL-Injection lagi, yups sebelumnya gue juga membahas serangan SQL-Injection pada Microsoft SQL Server ataupun Ms-Access, kali ini gue mau membagikan gimana sih caranya SQL-Injection pada DBMS Oracle, Bingung gimana caranya? yuk simak gimana step-by-stepnya kak.
Pertama saya sudah memiliki target, Oiya buat yang kalian belum tahu agar kalian tidak bingung pada DBMS Oracle saat melakukan serangan SQL-Injection, DBMS Oracle memiliki output error "ORA-21301: not initialized in object mode" Ataupun keluar output error yang ada bagian "ORA-" itu positive memakai DBMS Oracle hehe, but pada tutorial disini saya nggak menemukan output error text Oracle just blank text saat melakukan Injection.
Balancing |
Lanjut setelah bisa di balancing, selanjutnya kita menghitung jumlah table dengan ORDER BY yang ada pada website sampai menemukan output error.
Error in 11 |
Yups, sudah ketemu jumlah table ada 10 selanjutnya kita urutkan dengan UNION SELECT, but kok angkanya juga nggak terlihat meskipun sudah memakai and false, true maupun null? But tenang sajacase ini nggak sama kayak jodohmu yang lama tak terlihat :(
Nothing. |
Masih ada trik lain yakni kita menggunakan "from dual" and then biasanya untuk memunculkan angkanya pada DBMS Oracle ini termasuk berhasil, So lets try gimana caranya? Pertama kalian bisa menggunakan cara manual
Gimana? cukup mudah bukan melakuan SQL-Injection pada DBMS Oracle ini, mudah dimengerti sama halnya dengan MySQL hehe, Oke mungkin cukup sekian tutorial kali ini, Jika tidak bisa di mengerti kalian bisa comment, dont forget too share and see you next time byee~
Manual |
Jika kalian mager menebak satu - satu kalian bisa menggunakan Intruder yang ada pada Burpsuite untuk mengetahui dimana munculnya angka.
Burpsuite |
Yaps maka sudah muncul dimana angka so lets kita check secara manual untuk mencoba memunculkan user, database, version.
Buat yang kalian bingung check database, version, user ataupun commenting yang terdapat pada Oracle ini kalian bisa check disini.
Comments
--+
-- -
===========================
Version Details
SELECT banner FROM v$version WHERE banner LIKE ‘Oracle%’;
SELECT banner FROM v$version WHERE banner LIKE ‘TNS%’;
SELECT version FROM v$instance;
============================
User Details
(select user from DUAL)
(select user from users)
============================
Database Details
(select ora_database_name from dual)
(select sys.database_name from dual)
(select global_name from global_name)