查找漏洞(oracle)

最新推荐文章于 2022-05-15 16:22:15 发布
最新推荐文章于 2022-05-15 16:22:15 发布
阅读量799 收藏
点赞数
分类专栏: Oracle 数据库 文章标签: plsql database oracle

Oracle:


-- Purpose: A PL/SQL script to search the DB for potentially vulnerable 
-- PL/SQL code 
-- Version: v 0.0.1 

-- Works against: Oracle 9i, 10g and 11g 
-- Author: Alexander Kornbrust of Red-Database-Security GmbH 
-- 
select distinct a.owner,a.name,b.authid,a.text SQLTEXT 
from all_source a,all_procedures b 
where ( 
lower(text) like '%execute%immediate%(%||%)%' 
or lower(text) like '%dbms_sql%' 
or lower(text) like '%grant%to%' 
or lower(text) like '%alter%user%identified%by%' 
or lower(text) like '%execute%immediate%''%||%' 
or lower(text) like '%dbms_utility.exec_ddl_statement%' 
or lower(text) like '%dbms_ddl.create_wrapped%' 
or lower(text) like '%dbms_hs_passthrough.execute_immediate%' 
or lower(text) like '%dbms_hs_passthrough.parse%' 
or lower(text) like '%owa_util.bind_variables%' 
or lower(text) like '%owa_util.listprint%' 
or lower(text) like '%owa_util.tableprint%' 
or lower(text) like '%dbms_sys_sql.%' 
or lower(text) like '%ltadm.execsql%' 
or lower(text) like '%dbms_prvtaqim.execute_stmt%' 
or lower(text) like '%dbms_streams_rpc.execute_stmt%' 
or lower(text) like '%dbms_aqadm_sys.execute_stmt%' 
or lower(text) like '%dbms_streams_adm_utl.execute_sql_string%' 
or lower(text) like '%initjvmaux.exec%' 
or lower(text) like '%dbms_repcat_sql_utl.do_sql%' 
or lower(text) like '%dbms_aqadm_syscalls.kwqa3_gl_executestmt%' 

and lower(a.text) not like '% wrapped%' 
and a.owner=b.owner 
and a.name=b.object_name 
and a.owner not in 
('OLAPSYS','ORACLE_OCM','CTXSYS','OUTLN','SYSTEM','EXFSYS', 
'MDSYS','SYS','SYSMAN','WKSYS','XDB','FLOWS_040000','FLOWS_030000', 
'FLOWS_030100', 'FLOWS_020000','FLOWS_020100','FLOWS020000', 
'FLOWS_010600

callmeevil
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现 Oracle GlassFish Server 任意文件读取漏洞(CVE-2017-1000028)
nnn2188185的博客
04-16 1143
Oracle GlassFish Server Open Source Edition 4.1版本中存在任意文件读取漏洞。攻击者可借助特制的HTTP GET请求利用该漏洞访问敏感数据。 CVE-2017-1000028 CNNVD-201707-831 CNVD-2017-27302
禁止绿盟扫描oracle,Oracle Enterprise Manager Grid Control JSP代码执行漏洞(CVE-2010-3600)
weixin_42106299的博客
04-08 848
*本文原创作者:一只胖麻瓜biu,本文属FreeBuf原创奖励计划,未经许可禁止转载0×1Oracle Enterprise Manager Grid Control在实现上存在在上传应用程序通过OCI的方式,访问参考链接:0×2最近用绿盟扫描器扫到一个:host:访问存在漏洞的服务器:msf中search此exp:使用此exp:发现失败了show options查看一下payload:此处为pa...
Oracle也有注入漏洞
09-11
Oracle也有注入漏洞
oracle漏洞查询
07-22 397
每个季度初。oracle都要发表一系列的补丁和安全公告。如何知道这些漏洞是什么原因引起的呢。 在oracle的补丁集里面,有个readme文件,里面有bug列表。通过这些列表。我们可以知道bug号。再通过在me...
一个查看oracle最新漏洞的网址
cuiqingko849622的博客
04-15 551
http://www.oracle.com/technology//deploy/security/alerts.htm ...
oracle宽字节注入,SQL注入漏洞
weixin_36075657的博客
04-04 481
漏洞简介SQL注入漏洞是一种将SQL代码插入或添加到应用输入的参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行。漏洞危害1.数据库内的信息被窃取,篡改2.服务器上的文件被读取或修改3.命令执行......漏洞分类1.根据参数类型①数字型网页链接类似于http://xxx.com/index.php?id=1,注入点id类型为数字型。SQL语句一般为:select * from ...
历数几款第三方的Oracle数据库安全及漏洞扫描软件
weixin_34370347的博客
11-12 1280
虽然oracle公司自有一套丰富的数据库产品线, 包括 oracle advanced security, VDP , Database vault , lable security , Database FireWall 等等。 但我们还是有必要关注一些第三方的 安全工具, 这些安全工具的主要用途 包括: 漏洞扫描,风险评估,安全建议,审计等。 S...
如何查找oracle漏洞对应补丁号,Oracle 漏洞补丁如何查找下载并打补丁,什么漏洞都可用Opatch?...
weixin_33397740的博客
04-04 3612
我需要打这么多漏洞,有没有大师跟我 说如何处理比较好,是否是一个一个下载漏洞?序号 危险级别 漏洞编号 漏洞名称 返回信息12 高危险 009A071 Oracle数据库服务器Core RDBMS组件安全漏洞(CVE-2011-2239) Oracle Version:11.2.0.1....
Linux系统下oracle11.2.0.4漏洞修复打补丁(2021.10.19号目前最新的补丁)
02-20
Oracle 11.2.0.4版本可能存在一些已知的安全漏洞,这些漏洞可能会被恶意攻击者利用,对系统的数据安全构成威胁。因此,及时进行漏洞修复和打补丁是必要的维护工作。在2021年10月19日,Oracle发布了最新的补丁集,...
PHP操作Oracle踩的坑
weixin_30924087的博客
04-26 225
PHP操作Oracle踩的坑 项目使用的是Laravel,操作oracle的库使用yajra/laravel-oci8。在环境配通之后,操作oracle就像操作mysql一样,所以难点还是环境。 要想操作Oracle需要两样东西:oracle-instantclient11.2-basic和php-oci8,前者是oracle的客户端,后者是php扩展。可以操作oracle的php扩展有两种:pd...
oracle10.2补丁包
09-29
oracle10.2补丁包 Patch 5689937 : Created on 8 Jan 2007, 13:14:29 hrs US/Eastern Bugs fixed: 4671216, 4925103, 4604970, 4616376, 5689937, 4288876, 5225798, 5694720 4754888, 4750469, 4369235, 4751931, 4966716, 5049080, 5242648, 4348230 5490846, 4630549, 5490936, 5049088
Oracle Database Server 'TNS Listener'远程数据投毒漏洞(CVE-2012-1675)的完美解决方法
09-10
主要介绍了Oracle Database Server 'TNS Listener'远程数据投毒漏洞(CVE-2012-1675的完美解决方法的相关资料,本文介绍的非常详细,具有参考借鉴价值,需要的朋友可以参考下
渗透测试基础-ORACLE数据库之报错注入
weixin_45488495的博客
04-16 566
渗透测试基础-ORACLE数据库之报错注入ORACLE数据库ORACLE显错注入靶场演练ORACLE报错注入漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! ORACLE数据库 Oracle Database,又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。这里先对其做个简单的介绍。 既然要学习注入,还是得先了解它的一些语法和特点 oracle S
万网ORACLE注入漏洞详细手记
Kamus' Oracle World
11-16 3193
本文链接自黑客基地原文:万网的尴尬-万网ORACLE注入漏洞曝光前段时间,手上的项目做完以后,闲着无事,便在网上到处逛逛。看见群里的朋友聊天说自己的什么什么站什么什么论坛开张了。欢迎大家去玩去下载东东,还是.com,.com.cn的域名,很是羡慕啊。虾米时候我才能有自己的主机和顶级域名呢......幻想流口水中......。想到申请主机和域名,自然就想到了中国万网(在中国太有名嘛^_^)。去那里看
SQL手工注入漏洞测试(Oracle数据库)
weixin_52374319的博客
05-15 1113
SQL手工注入漏洞测试(Oracle数据库) 0x01前言 本文旨在讲述Oracle数据库多种情况下如何进行注入 靶场地址:SQL手工注入漏洞测试(Oracle数据库)_SQL注入_在线靶场_墨者学院_专注于网络安全人才培养 (mozhe.cn) 0x02 判断注入点 跟其他数据库一样,检测注入点都是可以通过拼接and语句进行判断。这里通过and 1=1 和and 1=2进行判断。实战中还可以通过延时函数进行判断。 http://124.70.71.251:44530/new_list.php?id=1%2
ORACLE数据库安全之SCN漏洞检查
淡定波的博客
07-09 685
概述 Oracle数据库在2019年6月份自动启动了SCN的新机制,即SCN rate 最大增长可达96kb,远超之前的32kb。当然,并不是说所有版本的Oracle数据库,都将自动启用这一特性(感觉Oracle埋了一个坑)。准确一点的说,时间点是2019年6月23号; SCN的新机制启动时间点 通过以下sql可以发现具体时间点: set serveroutput on declare v_autorollover_date date; v_target_compat number; v_is
Oracle gateway的下推操作--dbms_hs_passthrough
csdn666666666的博客
01-11 510
环境: CentOS 5.7 64bit, Oracle 11gR2, Greenplum Database 4.2.1.0, Oracle gateway 11g 场景:greenplum内有个表大概50多万条数...
oracle dbms包和其他包的使用大全(二)
cuizhu0832的博客
03-29 242
41 DBMS_FILE_GROUP Using DBMS_FILE_GROUP OverviewConstants Summary of DBMS_FILE_GROUP Subprograms ADD_FILE...
Oracle数据库无法向listener注册的解决一例
weixin_34228662的博客
03-21 290
当机器的IP地址改变了,或者机器名改变后, 动态注册可能会失败。 运行 lsnrctl status时,无论等待多久,都会发生:no services 这样的信息。 此时,最好的解决方法,就是删除原有listener,通过netca重新建立 listener,其实质是重新建立listener.ora。 可以发现原来的 host部分为 127.0.0.1,重新建立listener后,变成实际...
Oracle19c最新漏洞
最新发布
09-04
您可以访问Oracle Support Portal(https://support.oracle.com/security-alerts)来查找相关的安全通知,并按照推荐步骤安装补丁来保护您的系统免受潜在威胁。 对于具体的漏洞描述、影响范围以及如何修补,应该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值