ODAT 查询数据库漏洞

最新推荐文章于 2024-05-13 09:53:45 发布
最新推荐文章于 2024-05-13 09:53:45 发布
阅读量474 收藏 2
点赞数
分类专栏: 经验技巧 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leoriclee/article/details/107520513
版权

ODAT (Oracle Database Attacking Tool)是一款开源安全渗透测试工具,可以帮助安全测试人员对Oracle数据库远程进行安全测试。
下载地址:https://github.com/quentinhardy/odat/releases/
在这里插入图片描述

使用案例:
你具有一个Oracle数据库的远程连接权限,想要获取真实的SIDS和登陆验证信息以连接数据库。
你有一个合法的Oracle账户,想要提升权限,比如SYSDBA
你有一个合法的Oracle账户,想要在DB所在的主机上执行系统命令。

特性
字典攻击测试
暴力破解攻击测试

通过以下方式执行系统命令

DBMS_SCHEDULER

JAVA
external tables
oradbg

通过以下方式下载服务器文件

UTL_FILE
external tables
CTXSYS

通过以下方式上传文件

UTL_FILE
DBMS_XSLPROCESSOR
DBMS_ADVISOR

通过以下方式删除文件

UTL_FILE

发送和接收HTTP命令

UTL_HTTP
HttpUriType

端口扫描

UTL_HTTP
HttpUriType
UTL_TCP
leoriclee
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者_SQL手工注入漏洞测试(Oracle数据库)
weixin_50698958的博客
10-20 1575
靶场: https://www.mozhe.cn/bug/detail/M2dRRXJqN3RqWnhvTGRTK1JJdjk5dz09bW96aGUmozhe 背景介绍 安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境Apache+PHP+Oracle,PHP代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。 实训目标 1.掌握SQL注入原理; 2.了解手工注入的方法; 3.了解Oracle的数据结构; 4.了解字符串的MD5加解密; 解题方向 手工进行
java餐桌点餐系统源码-odat:ODATOracle数据库攻击工具
06-05
java美食点餐系统源码 昆汀哈代 ODAT ODATOracle Database Attacking Tool)是一款开源渗透测试工具,用于远程测试Oracle数据库的安全性。 ODAT 的使用示例: 您有一个远程侦听的 Oracle 数据库,并希望找到有效的SID和凭据以连接到数据库 您在数据库上拥有有效的 Oracle 帐户,并希望将您的权限提升为 DBA 或 SYSDBA 您有一个 Oracle 帐户,并且想要执行系统命令(例如反向 shell ),以便在托管数据库的操作系统上继续前进。 在 Oracle 数据库10g 、 11g 、 12c 、 18c和19c 上测试。 ODAT linux 独立版本,. 注意推荐使用开发版( git clone ), master-python3分支(python 3 版)。 变更日志 版本5.1 ( 12/03/2021 ): 所有模块中的新选项:-- nmap-file用于从 nmap XML 输出文件加载所有 Oracle 数据库 所有模块中的新选项: -l用于从文本文件加载所有目标(每行 ip:port 或 ip) 在所有模块
oracle 渗透,ODAT:一款专门用于Oracle渗透的工具
weixin_35945980的博客
04-03 342
ODAT(Oracle Database Attacking Tool)是一款开源的渗透测试工具,主要用于测试远端oracle数据库的安全性。ODAT使用场景示例:你希望找到远端Oracle数据库的SID和有效凭证以连接数据库你已获取到一个有效的Oracle帐户,并想将你的权限提升为DBA或SYSDBA你有一个Oracle帐户,并希望执行系统命令(例如,反向shell),以在托管数据库的操作系统上...
探索数据库安全的利器:ODAT 开源工具
最新发布
gitblog_00082的博客
05-13 395
探索数据库安全的利器:ODAT 开源工具 项目地址:https://gitcode.com/quentinhardy/odat 1、项目介绍 ODATOracle Database Attacking Tool)是面向安全测试的专业开源工具,专注于远程测试Oracle 数据库的安全性。它由安全专家 Quentin Hardy 创建并维护,适用于测试和评估 Oracle 数据库的防护能力。 2、项...
Odat
10-10 746
这会儿夜深了,他们昏昏睡去。随便哪栋建筑的某一个黑洞洞的窗口,你冷眼望去,没准就能看到一台白色的电脑,静静地卧在主人的书桌上。如果那主人睡得足够深,你就打开他的抽屉,现在你看到了什么?哦,我不是指他的私人日记,也没让你翻他的相册 和笔盒。结果呢,你没看到几张盗版软件么?谁敢说自己的个人电脑里没有一个软件是非法的呢?是一个庞大的无形的盗版帝国支撑着我们走进了IT时代。这么说似乎并不夸张。那么,你想了
网络安全工程师必知的75个网络端口(非常详细)从零基础入门到精通,看完这一篇就够了_常用端口
uiuuyy67的博客
04-16 688
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。(img-vYUzaBlZ-1713270115553)]还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
andreasvitikan.github.io:Hai,mă,cămai fac odată
03-19
【标题】"andreasvitikan.github.io:Hai,mă,cămai fac odată" 暗示这是一个个人网站或项目,可能是AndreasVitikan在GitHub上的个人主页。"Hai,mă,cămai fac odată" 是一句罗马尼亚语,大致翻译为“嘿,我...
复杂检索需求下SQL在医院统计中的应用思路.pdf
09-19
WHERE t1.FDDESC = '疾病名称' AND tmrd1.offi = '科室代码' AND tmrd1.odat BETWEEN '开始日期' AND '结束日期' GROUP BY t1.FDDESC, tmrd1.fmr1; ``` 这个SQL查询首先通过JOIN操作将患者基本信息表(tmrd1)、...
Apostalo:Apocaçãodesenvolvida parautilizaçãodatécnicade pomodoro,para maior produtividade dousuário
02-25
这是一个用引导的项目。入门首先,运行开发服务器: npm run dev# oryarn dev 用浏览器打开以查看结果。 您可以通过修改pages/index.js来开始编辑页面。 当您编辑文件时,页面会自动更新。 可以在上访问。...
64位Windows 7 下VistualStudio 2010 访问ORACLE 设置及安装 ODAC 及ODT
04-23
ODT则是专门针对Visual Studio的扩展,提供了一整套Oracle数据库开发工具,包括Oracle Designer、Oracle Data Provider for .NET等,使开发人员能在VS2010环境中方便地创建、设计和管理Oracle数据库对象。...
oracle 渗透,ODATOracle渗透测试工具
weixin_28775381的博客
04-03 491
ODAT(Oracle Database Attacking Tool)是一款开源的渗透测试工具,主要用于测试远端oracle数据库的安全性。ODAT使用场景示例:你希望找到远端Oracle数据库的SID和有效凭证以连接数据库你已获取到一个有效的Oracle帐户,并想将你的权限提升为DBA或SYSDBA你有一个Oracle帐户,并希望执行系统命令(例如,反向shell),以在托管数据库的操作系统上...
oracle odat,通过Oracle执行系统命令
weixin_36400512的博客
04-06 328
成功连接上Oracle后,如何通过Oracle get到os-shell,网上搜集资料解决后进行简单记录。经历如下:内网中发现oralce em express服务,一个oracle的web管理端,碰撞密码进入后,没有找到什么getshell的点,甚至数据查询等也没有发现,无意中发现了dispather设置项,通过添加dispather监听0.0.0.0后成功连接上数据库(默认的1521是监听在1...
黑客零基础第二章--信息收集第四章-自动化综合信息收集工具
ShadowBlade
08-14 3687
本章讲述自动化信息收集工具nmapAutomator。该工具将很多信息收集工具进行集成,自动全面的帮助attacker收集目标信息。 1.场景 虚拟机:vmware 攻击主机:kali IP:192.168.239.142 靶机:Windows10 IP:192.168.239.1 服务:xampp启动的apache 2.自动化信息收集工具 nmapAutomator的主要目标是将每次运行的枚举和重建过程自动化,而将我们的注意力放在真正的测试上。 这将确保两件事。 自动进行nmap扫描。 总是有一些
oracle odat,Oracle 执行JOB程序自动存储数据
weixin_42309087的博客
04-06 131
//执行定时任务DECLAREJOB NUMBER;BEGINSYS.DBMS_JOB.SUBMIT(job,'CUX_FinishedProcedure;',SYSDATE,'SYSDATE+30/(60*24*60)');END;//执行存储过程CREATE OR REPLACE PROCEDURE CUX_FinishedProcedure ISvExist NUMBER(30);isExi...
3.8 数据库攻击
m0_56534254的博客
10-12 1165
它基于网络服务协议构造攻击数据,覆盖了众多常见的网络服务,也提供了针对MSSQL、MySQL和Oracle等数据库的口令破解功能,其最大的特点是支持协议多,且具备持续破解的功能。这是基于Java开发的Web应用程序集成平台,可通过数据嗅探的方式获取到数据库登录数据报文的格式,并且指定字典或者字符集动态替换其中的账户及口令数据后发送给服务器。攻击者根据实际情况指定账户和口令可能使用的字符集和最大长度,再通过交叉组合的方式,在字符空间内遍历取值,逐一与数据库尝试连接,最终确定正确的账户及口令。
十大关系数据库SQL注入工具一览
10-18 701
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <a href= "http://cloud.csdn.net/a/20120416/2804631.html">http://clou
sqltools工具提权_MDAT一款用于数据库攻击的利用工具
weixin_39880479的博客
01-25 2114
介绍这是一款用于数据库攻击的利用工具,集合了多种主流的数据库类型。由团队成员Ch1ng & j1anFen 共同完成开发。前言由于各种数据库攻击利用工具需要各种环境导致使用相当不便,便萌生了开发此工具的想法,将常用的数据库集合在一起并且优化当时工具的一些不足。工具没有神仙技巧,都是网上现成的 POC 集合,更多的是开发时候对 JavaFx 的操控。功能Mysql传统UDF提权自适...
Web渗透攻击利器之更多工具收录
热门推荐
不忘初心,护天下安全!
11-25 1万+
中华蚁剑 https://blog.csdn.net/zrools/article/details/50884603 穿山甲 Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。 所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。 P...
Django Multiple Database
weixin_33982670的博客
07-11 174
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值