Oracle注入漏洞的实现.pdfVIP

Oracle注入漏洞的实现 　　 Oracle注入漏洞的实现 炽天使 2004年10月25日 第42期 •• 不小的震撼，虽然X网已经及时对此漏洞进行了修补，但作者发现并利用漏洞的思路是值得我 们研究的。 ••从PASSWORD下手 ••我们都知道，数据库中最关键的是用户的账号信息，其中至关重要的是用户名和密码。在 Oracle数据库中如何定位这个信息呢？ •• 20column_name%20like%20%25PASSWORD%25)%20AND%201=1”。 ••这里的意思是查询user_tab_columns表中有没有包含PASSWORD字串的列名。 ••页面返回正确，说明包含PASSWORD字串列名。我们也可以测试PWD、ADMIN、PASS等敏 感字段。 ••就从PASSWORD下手。知道了有包含PASSWORD字串的列名，那怎么知道是什么表包含了 %201=1”。 ••这里的意思是查看数据库中以A开头的表中有没有列名是包含PASSWORD字段的。如果有的 话页面就会正确返回。否则就会报错(如图)。 file:///C|/WINDOWS/Desktop/黑客营/Oracle注入漏洞的实现.htm（第 1／7 页）2001-9-4 00:06:52 上午 Oracle注入漏洞的实现 ••用NBSI高效检测敏感字段 ••26个字母逐个试实在累人，这里我利用了NBSI的后台管理地址扫描功能来进行自动检测。 换成： •• =A)%20AND%201=1 •• =B)%20AND%201=1 ••…… •• NBSI就开始帮我们一个个去检测设定的地址了。但是这会有一个问题，500错误NBSI也会显示 在下面的结果栏里，而我们只要它显示返回200 OK的地址。怎么办呢？亮出“宝 刀”──WPE PRO。它是一个实时截获修改数据包的工具。我们用它把返回的500错误改成404 页面不存在，那NBSI就不会在下面显示这个500错误的地址了。WPE PRO的具体用法我这里就 不详细说了，网上有大量教程。 ••这样，可以使我们猜测的效率大大提高。后面的大规模的猜测也是这样。 ••通过猜测，我们得到了有以C、D、H、M、S、V开头的表，表中包含了敏感字段。一个个来 看吧。 ••先来看C。数据库中以C开头的数据表可能有很多，到底哪个是我们需要的呢。继续来猜测 第二位。把Dict_Admin.txt(以下简称ADMIN)文件的内容用全部替换功能换成： file:///C|/WINDOWS/Desktop/黑客营/Oracle注入漏洞的实现.htm（第 2／7 页）2001-9-4 00:06:52 上午 Oracle注入漏洞的实现 •• =CA)%20AND%201=1 •• =CB)%20AND%201=1 ••…… ••再次进行检测。OK，得到我们需要的那个表，前两个字符是CU。然后再检测第三位……如 此重复。最后得到包含有敏感列名的以C开头的表，名为CUSTOMERMST。看到了 的表名的长度是多少。这样更准确快捷一些。 •• and 1=1来确认一下。页面正确返回就OK了。 ••CUSTOMERMST表的列名 ••到现在，我们还不知道具体的列名。下面我们就着手猜测CUSTOMERMST表的列名。由于 亏有个自制的NBSI+WPE的检测器。闲话少说，下面来猜测列名，将ADMIN文件的内容改 成： •• 201=1 •• 201=1 ••…… file:///C|/WINDOWS/Desktop/黑客营/Oracle注入漏洞的实现.htm（第 3／7 页）2001-9-4 00:06:52 上午 Oracle注入漏洞的实现 ••通过猜测来看看在CUSTOMERMST表中存在以哪些字母开头的列名。页面正确返回，也就 是返回200 OK，那就是存在。 ••通过检测，知道存在以A、B、C、E、F、G、I、L、M、O、P、R、S、U开头的列名。我 晕，这么多……没办法，慢慢来吧。先来看以A开头的，这里的方法和上面猜测表名的方法差 不多，不再赘述。 ••OK，得到前两位是AR，继续……最后得到列名为AREAID。这里需要注意一点的是，在逐 位检测的时候，可能出来多个结果，就说明有多个列名。比如检测以B开头的第二位的时候， BI和BU都返回200 OK，那么就说明有以BI、BU开头的列名，下面要分别去猜。以此类推，最 后我们得到了CUSTO