有一个网站abc.com易受SQL注入攻击,我已通过sqlmap验证了这一点,所以我在此之后获得了用户名和密码
https://github.com/sqlmapproject/sqlmap/wiki/Usage
但我注意到数据库正在oracle上运行,我想获取主机,以便我可以从Oracle客户端连接到数据库。
- hostname返回abc.com,如何获取实际的数据库主机名,以便我可以使用SQLMAP通过Oracle客户端进行连接。
当我对abc.com进行端口扫描时,只有40和443打开。
P.S这仅用于学习目的
由于
答案 0 :(得分:1)
如果你可以在SELECT数据库正确表上ORACLE,这应该可以解决问题:
SELECT host_name from v$instance
如果您想了解有关如何连接的更多信息,请尝试
SELECT type , value FROM v$listener_network
它将为您提供数据库网络名称和来自localhost的连接字符串。
答案 1 :(得分:1)
如果要连接到数据库,只需使用--sqlmap-shell来提示交互式sqlmap shell。
sqlmap -u abc.com --sqlmap-shell
但是如果你想要当前的数据库,你可以使用--current-db选项。
sqlmap -u abc.com --current-db