之前听到的SQL注入多是拖库,破解管理员密码,getshell等等。
今天实践了一条新路,DBMS是Oracle 12c,找到的SQL注入点位于Insert语句(必须是Insert、Delete之类的语句,Select是不行的),利用一个函数插入数据到一个表中,构造了XSS,偷Cookie,getshell。
以后在SQL注入之后不但要读数据,还要写数据。
写在SQL注入后
原文:http://duallay.blog.51cto.com/635999/1874070
