|
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
工具介绍
想起来自己之前写过一个oracle的连接工具,拿出来分享下。工具没有用到什么新的技术,希望能给做渗透测试的兄弟们节省一点时间。
支持三种工作模式:
前提是拥有一个普通的oracle连接账号,不需要DBA权限,可提权只DBA,并以oracle实例运行的权限执行操作系统命令。拥有DBA账号密码,可以省去自己手动创建存储过程的繁琐步骤,一键执行:)拥有一个oracle注入点,可以通过注入点直接执行系统命令,此种模式没有实现回显,需要自己验证。主要当时偷懒了,想到回显还需要UTL_HTTP、DNS啥的,要搞一个单独的IP,太麻烦,以后有时间再完善吧:(
普通模式和DBA模式支持执行命令、列目录、反弹Shell;注入模式支持执行命令、反弹Shell。
下载地址
https://github.com/jas502n/oracleShell
往期推荐工具
原文始发于微信公众号(Hack分享吧):Oracle提权执行命令工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论