Oracle注入漏洞绕waf的新语句

 Part1 前言 

这篇文章源于之前做的一个银行红队项目，遇到到了一个Oracle数据库的SQL注入漏洞，但是网上能搜索到的各种SQL语句都没法出数据，所以客户不认可这个漏洞的危害性，于是就开始了对这个Oracle的SQL注入绕WAF的探索过程：

 Part2 研究过程 

• SQL注入判断过程
  

经过对Web应用一系列的手工漏洞测试，发现这个网站对Web漏洞的拦截至少有两层防护：

1.  外网部署了WAF设备拦截，对常规的SQL注入关键字有拦截；

2.  绕过外围的Waf设备后，发现应用程序本身也对SQL注入漏洞进行了严格的过滤；

这相当于两个WAF串联的情况，非常难解决。接下来看一下这个注入点情况：

使用burpsuite不断地抓包重放，当看到这个POST请求的时候，proCode=002&specIds=8866@871（防止泄露项目信息，原来的数据包就不贴图了），发现参数的值中有一个@符号，直觉和经验告诉我，就觉得这里面会存在安全问题。因为我猜想，参数值为了保留@这个特殊字符，一定会对很多危险字符做出让步。所以重点对specIds参数进行了测试，还真发现了SQL注入漏洞。这个注入漏洞是这样判断出来的：

proCode=002&specIds=8866@871*(1-0)，返回正常

proCode=002&specIds=8866@871*(1-1)，返回错误

• SQL注入拦截关键字判断

这些都是SQL注入漏洞的基础，这里就不细讲了。接下来要做的是通过这个注入漏洞跑出数据，否则客户不认可这个漏洞。

首先看一下这个注入点过滤了哪些字符，specIds参数经过大量的手工测试，发现至少有以下过滤：

1.  and、or 、xor、like、true等常见SQL语句的关键字通通不能用，大小写转换也不行。

2.  substr、ascii、CHR、wm_concat、lower、upper等Oracle常见sql语句出数据的关键函数不能用。

3.  | 、<、>、!等被干掉。（对于Oracle注入来讲，|竖杠被过滤掉，受限是非常大的）

4.  select、from等SQL注入出数据的关键字被干掉。

看到这里感觉挺难的，但是比较幸运的是，这个specIds参数的单引号、（）左右括号、*没有过滤。尤其是单引号没被过滤，这个非常关键，为这个注入漏洞能够跑出数据留下了一线生机！

• 查看Oracle数据库手册

select、from这两个关键字被过滤了，想要出数据很难的。于是我从网上各种搜索，把Oracle数据库的关于数据查询的各种函数都找出来了，测试了一遍，几乎全被拦截掉了。但是幸运的是有一个instr函数成功绕过了所有防护，没被拦截。

接下来看看Oracle数据库手册上对INSTR函数的用法怎么描述的（这些翻译过来的中文使用说明看起来非常难以理解，我看了大半天才看明白）：

语法: INSTR（string1, string2[a,b]）

功能: 得到在string1中包含string2的位置。string1是从左边开始检查的，开始的位置为a，如果a是一个负数，那么string1是从右边开始进行扫描的。第b次出现的位置将被返回。a和b都缺省设置为1，这将会返回在string1中第一次出现string2的位置。如果string2在a和b的规定下没有找到，那么返回0。位置的计算是相对于string1的开始位置的，不管a和b的取值是多少。

根据手册构造出了以下SQL注入语句：specIds=816Q@Q871*(instr(sql插入点,'%s',%s)-(%s-1))

“sql插入点”需要替换成我们想要查询的sql语句，这里需要找一个不包含select、from的语句写法，最终经过测试，发现以下语句可行：

utl_inaddr.get_host_address()，组合起来就是：

specIds=8866@871*(instr(utl_inaddr.get_host_address(),'%s',%s)-(%s-1)) &channelId=128

• python脚本编写

以下是我写的python脚本的一个片段，我把域名、url地址都给打码了，大家可以照着改出一版自己的小脚本：

 Part3 总结 

1.  Oracle注入、Mysql注入等等遇到过不了的WAF，多去查查相关数据库的各种特殊函数，非常有用。

2.  SQL注入漏洞的防护最好使用预编译，对于不能使用预编译的情况，记得过滤的关键字一定要全面。

3.  SQL注入漏洞深挖，总会有的。业务复杂度越来越高，各种研发人员更替，研发人员水平参差不齐，业务着急上线疏忽了安全问题整改等原因造成了这一现象。

星球内容

正式运营星球:

1.src真实漏洞挖掘案例分享(永久不定时更新),过程详细一看就会哦。
2.自研/二开等工具/平台的分享。
3.漏洞分析/资料共享等。

ps:漏洞都是加班加点挖到的,最近白嫖的人日益增多越来越多。
白嫖党过多,增加了新人阅读权限,3天就解除。

关于文章/Tools获取方式:请关注交流群或者知识星球。

关于交流群：因为某些原因，更改一下交流群的获取方式:

1.请点击联系我们->联系官方->客服小助手添加二维码拉群 。  

2.开启二群，后台回复交流群，快速进群。

关于知识星球的获取方式:

1.后台回复发送 "知识星球"，即可获取知识星球二维码。

2如若上述方式不行，请点击联系我们->联系官方->客服小助手添加二维码进入星球 。  

免责声明

        

本公众号文章以技术分享学习为目的。

由于传播、利用本公众号发布文章而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任。

一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

原文始发于微信公众号（极梦C）：Oracle注入漏洞绕waf的新语句