oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧

  • A+
所属分类:安全文章

oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧

        利用CVE-2014-6577。
        目标版本:11.2.0.3, 11.2.0.4, 12.1.0.1, 12.1.0.2,等(反正就是比较新的版本啦,对非dba用户的权限做了些许限制)。当然,如果你是dba权限注入点,或者可以union,error。可以直接跳过此文。
        dba权限的话:oracle盲注用http可以通杀一条龙。不是本文重点,轻微提及。


        测试环境:oracle 11gR2 64位,kali。
        我们先用tmux开启3个窗口。左边2个分别以db用户test,dba用户system登录。右边用python快速开启53端口web服务。如下图。
python -m SimpleHTTPServer 53

oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧


        接着我们用dba万能大法,http通道尝试。发现test用户网络连接被拒绝。而system不受任何影响。因为oracle版本号有空格。所以右方web状态码400,但我们要的数据已经出来。
        oracle函数众多,有了dba,走遍天下也不怕。

oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧


        下面看一下目标table的数据结果。挑战目标是普通db权限如何一次获取整张表。

oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧


        这里我们利用CVE-2014-6577(db甚至更小权限可以利用xml结构,跳过框架网络限制,建立http或者ftp通道)。
        下图以http为例。ftp你自己开个nc或者wireshark抓个报文嘛。
       netspi官网给出http简单payload和我们的改良版本:

oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧

oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧


        细心的小伙伴可能会发现我上面为什么限定了where rownum<5。这个取前多少行自行决定。mssql一次error报错行数过多会导致二进制什么鬼的错误。所以我就是选5行,就是这么任性。
        另外也可以写个脚本,oracle可以几十行几十行的注入。那样整张表很快就出来了。怎么发挥看你们哈。
        对了。上面只是select测试解释。
        常用payload中select,delete,update,insert都可以成功的。本人已测试。好了你们发挥去吧。


        注意点:为嘛要用python呢,因为很多生产环境是oracle内网隔离,但是time base和布尔盲注又太慢,你恰好又有个目标网内的一台linux的webshell。那么python走起呗。记得端口改到1024+

        注入点好的直接error,union。或者直接sqlmap。盲注:版本低的直接http,权限高的直接http,重要的事说3遍。
               
参考资料:

https://blog.netspi.com/advisory ... base-cve-2014-6577/
乌云drops(应该算各自独立完成):

http://drops.wooyun.org/papers/6035
注入相关姿势:

https://twitter.com/dsrbr(看dsrbr大神的就差不多了)


oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧

本文始发于微信公众号(T00ls):oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: