大西瓜的杂货铺

Exploiting SQL Injection from Web Applications

This paper discusses the exploitation techniques available for exploiting SQL Injection from web applications against the Oracle database.

Download PDF

http://devteev.blogspot.com/2010/01/blind-sql-injection-oracle.html

With an interesting selection of fast ways of exploitation of blind SQL-injection, I lacked similar techniques for not less common DBMS Oracle. This prompted me to try a little Research, Inc., aimed at finding such techniques in the specified database.

http://hi.baidu.com/myvbscript/blog/item/5d3fed1f2eb7dd01314e151f.html

‘感谢marcos，人才呀，巧妙的递归；2010我懒了，以后再加猜字段值内容吧
Set oracleXML = CreateObject(“Microsoft.XMLHTTP”)
TargetURL = http://www.target.com/information/view.asp?bna=abc ‘自行修改
RightWord = “正常页面字符串” ’自行修改
if (lcase(right(wscript.fullname,11))=”wscript.exe”) then
wscript.echo “Execute it under the cmd.exe Plz! Thx.”
wscript.quit
end If

阅读全文

by:vitter@safechina.net
blog.securitycn.net

最近在搞oracle，一些小东西记录一下。

Metasploit是一个很好的攻击工具包，当然我们这次不是介绍这个工具包的，主要是大牛MC写 了很多oracle的工具，在最近会经常用。我主要会用到经典工具tnscmd移植到MSF中的小工具（不如pl的好用，没换行，看结果很 累），sid_brute和login_brute，用的最多的还是暴力破解oracle用户名和密码的login_brute。下面就说下怎么安装和使 用，主要是安装，因为有些需要注意的东西，请注意斜体字。

1、先装gcc编译环境 （我用的server比较惨，最小安装，系统也老，FC2。）

阅读全文

转载自http://www.ad0.cn/netfetch/read.php/600.htm

http://hi.baidu.com/0soul/blog/item/a2fd4a881ca7f7ba0e244455.html

这是甲骨文公司总裁Larry Ellison (Oracle CEO) 在耶鲁大学Yale University 给2000级毕业生the graduating class of 2000所作的演讲全文，由于他句句惊人，很冷，最后被耶鲁大学保安请下讲台。该演讲号称历史最牛之演讲，但是否classic则不得而知，美国出版的一本大学经典演讲集未将其收入其中。

历史上最牛的演讲———甲骨文总裁拉里埃里森在耶鲁大学的演讲

—————————————

阅读全文

From:Web安全手册

西瓜注：trace在文章里面把链接给的太隐蔽了，还是要厚道啊，你可以不小心殿下videos那个单词。链接还是明白说：点这里

Chris Gates has uploaded some of the videos how to hack Oracle with Metasploit:

* Metasploit Oracle TNSCMD SMBRelay Demo
* Metasploit Oracle Extproc Backdoor Demo
* Metasploit Oracle Login Brute and Privilege Check Demo
* Metasploit Oracle CGI Scanner and SID enumeration