标签 ‘Oracle’ 下的日志

一次通过 Oracle8i 入侵系统之旅

来源:冷漠’s Blog
Author:Mickey
最近看了些有关 Oracle 的安全资料,看后随手做了一个渗透测试,把过程记录下来方便日后查阅.。先用 SuperScan4.0 扫描下要测试的主机,速度很快,结果如图 1 所示:
阅读全文 »

Tags:

ORACLE 本地读写文件—ORA WRITE WEBSHELL

信息来源: I.S.T.O信息安全团队(http://blog.csdn.net/I_S_T_O)

author : kj021320
team: I.S.T.O

一般我们通过函数注射以后 获得ORA的DBA权限 那么我们就得对本地文件进行操作!要是WEB跟ORA是同一个机器~那就更方便于我们拿更多的权限了~或者对本地写webshell

下面是采用ORA 自带的文件访问包 操作本地文件! 前提是你必须要知道WEBSITE的物理地址

以下是一个简单例子

–首先我们得先建立一个 ORACLE的目录对象 指向 C:\

create or replace directory IST0_DIR as 'C:\';

–然后我们对这个目录对象进行授权 其实这步可以忽略
阅读全文 »

Tags: ,

ORACLE(SQLJ-SHELL)

信息来源: I.S.T.O信息安全团队(http://blog.csdn.net/I_S_T_O)

author : kj021320
team: I.S.T.O

首先在ORACLE数据库建立JAVA对象, 这个版本的SQLJ-SHELL 只能支持正向连接,反向连接的时候有BUG 不建议使用,不知道是ORA支持JAVA的问题还是个人能力有限…要是有更好的方法可以方便交流QQ:282720807

create or replace and compile java source named isto as
import java.io.*;
import java.net.*;
public class ISTO{
//author: kj021320
//team: I.S.T.O
阅读全文 »

Tags: ,

入侵oracle数据库的一些心得

鬼仔注:关于入侵oracle方面的文章现在不多。
最近网络出问题,更新不及时。

软件作者:pt007[at]vip.sina.com版权所有,转载请注明版权
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
一、先看下面的一个贴子:

Oracle数据库是现在很流行的数据库系统,很多大型网站都采用Oracle,它之所以倍受用户喜爱是因为它有以下突出的特点:

1、支持大数据库、多用户的高性能的事务处理。Oracle支持最大数据库,其大小可到几百千兆,可充分利用硬件设备。支持大量用户同时在同一数据上执行各种数据应用,并使数据争用最小,保证数据一致性。系统维护具有高的性能,Oracle每天可连续24小时工作,正常的系统操作(后备或个别计算机系统故障 阅读全文 »

Tags:

用链表实现的MYSQL、MSSQL和oracle密码暴破C程序

议题作者:pt007[at]vip.sina.com版权所有,转载请注明版权
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

/*程序一:用链表实现的MYSQL密码暴破程序,参考了[email protected]的程序,进行了一些修改*/
阅读全文 »

Tags: , ,

Oracle 专用注射器 [线程版]

作者:小幽
来源:邪恶八进制

仅对ORA为后台数据库有效.

下载地址:SiOracle.zip

界面截图

Tags: