浅谈Oracle web环境注射技术

欢迎进入Oracle社区论坛，与200万技术人员互动交流 >>进入 一 Oracle 简单介绍 Oracle作为一款比较早期出现的RDBMS数据库，市场占有率比较大，经常用在一些大型数据库上。它本身除了很好地支持各种SQL语句外，还提供了各种丰富的包，存储过程，甚至支持java

欢迎进入Oracle社区论坛，与200万技术人员互动交流 >>进入

        一 Oracle 简单介绍

　　Oracle作为一款比较早期出现的RDBMS数据库，市场占有率比较大，经常用在一些大型数据库上。它本身除了很好地支持各种SQL语句外，还提供了各种丰富的包，存储过程，甚至支持java和创建library等特性，如此强大的功能为Hacking提供了很好的便利。

　　Oracle自身有很多默认的帐户，并且有很多的存储过程，这些存储过程是由系统建立的，很多默认都是对public开放的，在过去的几年里公布了很多oracle的漏洞，包括溢出和SQL注射在内的许多漏洞。在这里面，SQL注射漏洞显得格外严重，因为在Oracle里，在不加其他关键字AUTHID CURRENT_USER的情况下，创建的存储过程在运行时是以创建者身份运行的，而public对这些存储过程都有权限调用，所以一旦自带存储过程存在注射的话，很容易让普通用户提升到Oracle系统权限。Oracle本身内置了很多的帐户，其中一些帐户都有默认的密码并且具有CONNECT的权限，这样如果oralce的端口没有受到防火墙的保护又可以被人远程连接的话，就可以被人利用默认帐户远程登陆进系统然后利用系统里的存储过程的SQL注射漏洞，系统就会沦陷，当然，登陆进oracle还需要sid，不过这也并不困难，oracle的tnslintener默认没有设置密码，完全可以用tnscmd.pl用services命令查出系统的sid(到比较新的版本，这个漏洞已经被修复了)，这也是非常经典的入侵oracle的方式。

　　二 Oracle Web Hacking 技术背景

　　oracle丰富的系统表。oracle几乎所有的信息都存储系统表里，当前数据库运行的状态，当前用户的信息，当前数据库的信息，用户所能访问的数据库和表的信息......系统表就是整个数据库的核心部分，通过恰当地查询需要的系统表，几乎可以获得所有的信息。如sys.v_$option就包含了当前数据库的一些信息，如是否支持java等，all_tables里就包含了所有的表信息，all_tab_colmuns包含所有的列信息等等，为我们获得信息提供了非常大的便利，后面将有关于如何利用系统表获取敏感信息的描述。

　　在oracle的各种漏洞里，需要特别说下存储过程的注射，其实也并没有什么神秘，存储过程和函数一样是接受用户的输入然后送到数据库服务器解析执行，如果是采取的组装成SQL字符串的形式执行的话，就很容易将数据和命令混淆，导致SQL注射。但是根据注射发生的点不同，一样地注射漏洞的性质也不同。Oracle使用的是PL/SQL，漏洞发生在select等DML语句的，因为不支持多语句的执行，所以如果想运行自己的语句如GRANT DBA TO LOVEHSELL这些DDL语句的话，就必须创建自己的函数或存储过程，如果没有这相关的权限还可以利用cursor注射，用dbms_sql包来饶过限制。大多数的注射正是上面这些有限制的注射，必须依靠自己创建的一些其他包或者cursor来实现提升权限的目的，但是还是有些非常少见但是注射环境非常宽松的漏洞，就是用户的输入被放在begin和end之间的匿名pl/sql块的注射，这种环境下的注射可以直接注射进多语句，几乎没有任何限制，而可以看到，正是这种闪光的漏洞为我们的web注射技术带来了怎样的辉煌。

　　好了，上面谈到的都是Oracle的一些攻击技术，但是现在很多的环境是，对外开放web服务，后台数据库被防火墙保护着，无法得到数据库的太多详细信息，已经不能直接登陆进数据库进行操作，这个时候就要考虑利用web下的漏洞来攻击后台的数据库了。现在来看下如何进行Oracle web环境下注射吧!oracle可以在各种web环境下良好地工作，各种web环境对我们注射的影响也并不是很大，在asp，.net，jsp中对进入的参数基本没做任何过滤，但是由于.net，jsp语言是强类型语言，在数字类型的注射上即使sql语句没有做过滤但是可能在接受参数的时候就出错了，所以注射出现在字符串类型的参数上比较多一些。在php环境下，所有的'会被转义为\'，在oracle环境里\'并不会成为转义(在oracle环境里的正确转义应该为'')，但是在我们自己的注射语句里使用'会因为被转成\'而遭到破坏，所以在注射时不能使用'。除此之外，web环境下就没什么限制了。在数据库方面，如果语句采取的是参数的方式执行，也不能够被注射，除非使用的是字符串连接的方式(由于字符串连接的方式比较简单，也因为一些历史上的原因，很多程序员往往会偏向于这种方式，)，字符串连接方式的话也会分为两种，参数在select，update，insert这些DML语句之间，与参数在pl/sql匿名块之间，如果web程序没有捕获错误，那么我们很容易根据错误判断出当前语句的类型，后面会提到。在pl/sql匿名块之间的比较少见，但也不排除，这样的注射基本也是没有什么限制的，可以执行多语句，做任何事，跟本地登陆没有任何区别。

　　三 Oracle Web Hacking 基本思路

　　下面说说如何确定目标，注射参数的确定就由大家自己来了，主要是如何判断数据库属于oracle，根据数据库的特性很容易判断出来，oracle支持--类型注释，但是不支持; 分隔执行多语句，oracle有很多系统表，譬如all_tables，通过对这些表的访问也可以判断出是否属于oracle，另外在oracle里的一些函数也可以用来判断，譬如utl_http.request这些，语言上的小细节也可以用来区分系统，譬如在oracle里||是连接符号，但是在其他数据库里就不是了，所以 and chr(123)||chr(123)=chr(123)||chr(123)这样的，如果可以顺利执行，那么就基本应该是oracle了，另外，一些脚本在出现数据库查询错误时，对错误信息没有处理，也会泄露真实的后台数据库，这个可以很明显地看出来。

　　然后需要确定的是注射点的类型，一般的情况下，我们进入的参数不是数字类型就基本是字符类型(其他很多人所说的搜索型注射其实还是应该归结于字符类型的)，对于数字类型的基本不用考虑什么，很容易添加--注释字符就可以让语句正确闭合了，如果是字符类型的就要考虑如何让整个语句正确，通常是添加'以及--这些注射字符来构造自己的注射环境。在一些复杂的情况下，如同一个参数在多个sql语句和逻辑里出现，就要自己小心构造出符合环境的注射语句了，记住，我们只需要一个能便利插入自己sql命令的完好环境：)

[1] [2] [3] [4] [5] [6] [7]