PDA

Просмотр полной версии : вопрос про oracle


smak
26.08.2016, 10:36
у меня такой вопрос есть сайт, на нем есть blind sql injection в oracle

на сайте по умолчанию админ доступ в oracle стоит , есть логины и пароли, некоторые после расшифровки подошли к личному кабинету (могу редактировать новости)

но открыть ос шелл не могу (sql map говорит нельзя) , sql shell есть по сути

как можно поступить в э том случае ? цель получить именно ос шелл чтобы выполнять команды

pas9x
26.08.2016, 16:53
Каким образом ты определил, что там оракл?

smak
26.08.2016, 19:40
sqlmap за меня определил, могу читать через blind sql базы , логины , пароли , а команды оперативной системы не работают, os shell (команда sqlmap и ей подобные) не срабатывают

pas9x
30.08.2016, 12:22
↑ (https://antichat.live/posts/3985024/)
sqlmap за меня определил


Мда, вот так проблема.

Если там оракл, то лезть в эту систему тебе ненадо, ато ручёнки оторвут и в опу вставят. Оракл ставят крутые компании у которых бабла куры не клюют, соответственно если там действительно оракл, то ты лезешь в систему которая стоит туеву хучу бабла и в случае чего будет открыто уголовное дело.

Но я подозреваю, что склмап просто неправильно определил тип БД и на сайтике стоит банальный мускуль или постгрес. В этом случае тебе всёравно туда ненадо лезть. Мне нравится когда хакерок не зная SQL находит дырку (а точнее какие-то программульки за него её находят), но обламывается потому что знаний у него меньше чем у программиста который допустил уязвимость

faza02
30.08.2016, 12:38
в oracle нет такких функций: https://rdot.org/forum/showthread.php?t=156

smak
01.09.2016, 23:24
pas9x троль 99 левела ? отдохни чуток, ты даже не знаешь кто я и насколько тебя старше, более того я получил доступ туда не изза денег и это не компания, я удивляюсь таким даунам как ты, более того я там ничего не трогал и не менял , спи короче

пс там блинд скл инжекшен и ручками ты неделю будешь перебирать чтобы узнать то что тебе надо школоло

yarbabin а как то можно попробовать получить там веб шелл? можете предложить варианты , там админ права на текущую бд спасибо)

korneev
02.09.2016, 13:42
Вариант 1) - Искать админку web-приложения. пароль админа достанешь из БД. Через админку пытаться залить web-shell на сервак.

Вариант 2) - попробовать oracle Local SQLi SYS.LT.FINDRECSET, SYS.LT.REMOVEWORKSPACE, etc - сполиты найдешь на exploitdb. за счет этот ты сможешь поднять права до админского (в оракле). Затем ты сможешь создать процедуру по вызову системных команд (https://community.oracle.com/thread/371320, https://asktom.oracle.com/pls/asktom/f?p=100:11:0::::P11_QUESTION_ID:16212348050, http://pentestmonkey.net/cheat-sheet/sql-injection/oracle-sql-injection-cheat-sheet)

Вариант 3) Подняться до админа через Local SQLi, Читать и писать файлы web-приложения (см cheat-sheet Pentestmonkeys или google)

Вот как то так.

P.S. pas9x хоть и троль 99 левела, но определенная доля смысла в его тролинге есть. попытайся быть осторожнее, дабы не завалить приложение.

smak
03.09.2016, 00:02
1) есть не админка а личный кабинет, пароли некоторые расшифрованы (но не все и некоторые не подходят к админке, а те которые подходят разграничены по иерархиям, ктото новости менять может на главной сайта, ктото локальную страничку сайта , я ж писал могу добавлять и редактировать новости почти везде, движок самописный)

2) еще раз пишу админ права в оракле у меня есть (текущая база под ними запущена), насчет процедуры по вызову сис команд можно поподробнее

korneev
05.09.2016, 11:46
1) Если у тебя есть админ права на БД, ты можешь не только читать пароли но и писать их - поменяй пароль админа на заготовленный тобой хеш - зайдешь в админку, сделаешь все что нужно, затем поменяешь обратно. Если ты можешь добавлять новости, значит и картинки загружать можешь - поиграйся с загрузкой исполняемого кода вместо картинок. В самописных цмс это часто встречается.

2) Если на серваке установлена ява -ты можешь создать хранимую процедуру, которая выполняет системную команду. Посмотри первую ссылку которую я дал (там несколько примеров). + google. Если нет опыта в оракле - поставь себе на ВМ ораклу и потренируйся на ней.

smak
06.09.2016, 18:10
1) тут дело в том что там нет логина админ , есть логин с названием сайта (у него не расшифрован хеш) , хеш пароля поменять могу на свой, но это рисково, ибо есть шанс что логин не подойдет к личному кабинету, личный кабинет не есть админка и не факт что на этом логине будут огромные возможности

2) а как проверить установлена ли ява ? и можно ли конкретный пример как выполнить команду например id или uname

допустим у меня есть sql shell с админ правами выполнения запросов