侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體
當(dāng)前位置: OFweek 安防網(wǎng)   >   其它   >  正文

三大數(shù)據(jù)庫(kù)如何寫(xiě)入WebShell?

ORACLE寫(xiě)入WebShell

01必備條件

① 有DBA權(quán)限

② 獲得Web目錄的絕對(duì)路徑

02寫(xiě)入方法

向Oracle寫(xiě)入WebShell的方法可以使用:文件訪問(wèn)包

03使用文件訪問(wèn)包方法寫(xiě)入Webshell

首先我們需要?jiǎng)?chuàng)建一個(gè)ORACLE的目錄對(duì)象指向某一路徑,在真實(shí)環(huán)境中需要指向Web目錄下,在這里我們將其指向/home/oracle這一路徑下。create or replace directory IST0_DIR as '/home/oracle';

image.png

圖19:創(chuàng)建一個(gè)ORACLE的目錄對(duì)象指向某一路徑

創(chuàng)建好后,我們需要對(duì)其進(jìn)行一下授權(quán)過(guò)程,讓其能夠順利的寫(xiě)入WebShell代碼。

grant read, write on directory IST0_DIR tosystem;

然后寫(xiě)入文件,定義變量類型為utl_file.file_type,然后將WebShell的代碼寫(xiě)入此文件中。

image.png

圖20:將WebShell的代碼寫(xiě)入文件

直接訪問(wèn)該文件,即可查看到其中的WebShell代碼,如果這個(gè)文件是放置在Web目錄下的,那么就可以被攻擊者成功利用。

image.png

圖21:WebShell代碼

以上就是三大數(shù)據(jù)庫(kù)(MySQL、SqlServer、Oracle)寫(xiě)入WebShell的正確姿勢(shì),你掌握了嗎?本文轉(zhuǎn)自杭州美創(chuàng)科技有限公司公眾號(hào)(第59號(hào)),如需二次轉(zhuǎn)載,請(qǐng)咨詢marketing@m(xù)chz.com.cn。

<上一頁(yè)  1  2  3  4  
聲明: 本文由入駐維科號(hào)的作者撰寫(xiě),觀點(diǎn)僅代表作者本人,不代表OFweek立場(chǎng)。如有侵權(quán)或其他問(wèn)題,請(qǐng)聯(lián)系舉報(bào)。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過(guò)于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無(wú)評(píng)論

暫無(wú)評(píng)論

    文章糾錯(cuò)
    x
    *文字標(biāo)題:
    *糾錯(cuò)內(nèi)容:
    聯(lián)系郵箱:
    *驗(yàn) 證 碼:

    粵公網(wǎng)安備 44030502002758號(hào)