我正在做一些后期开发工作,我一直试图通过运行命令或上传有效负载来显示完全的操作系统危害。
我尝试使用DBMS_SCHEDULER创建可执行作业,但是当我运行这样的查询时似乎没有创建作业。我对Oracle 11g并不熟悉(我通常不会进行后期开发工作),这个系统似乎修补得很好,但我有DBA访问权限。
以下是我通过网络应用程序通过SQLi尝试的示例:
0' OR 1 in ( DBMS_SCHEDULER.CREATE_JOB (job_name=>'test', job_type=>'EXECUTABLE',
job_action=>'c:\windows\syswow64\ping.exe <IP>', enabled=>true) ) AND '1'='1
我得到的错误是:
OraOLEDB error '80004005'
ORA-00904: "DBMS_SCHEDULER"."CREATE_JOB": invalid identifier
我不确定这是查询的限制还是什么。我在周围看到的大部分内容都是在BEGIN / END块内创建的作业。我不确定那是做什么的。
当我查看dba_registry表中的组件时,我认为Java没有启用。