红队第6篇:Oracle注入漏洞绕waf的新语句

admin 2022年5月2日14:40:43安全文章评论11 views1995字阅读6分39秒阅读模式

 Part1 前言 

大家好,上期分享了一次MS12-020蓝屏漏洞的巧用。这篇文章源于之前做的一个银行红队项目,遇到到了一个Oracle数据库的SQL注入漏洞,但是网上能搜索到的各种SQL语句都没法出数据,所以客户不认可这个漏洞的危害性,于是就开始了对这个Oracle的SQL注入绕WAF的探索过程:

 Part2 研究过程 

  • SQL注入判断过程

经过对Web应用一系列的手工漏洞测试,发现这个网站对Web漏洞的拦截至少有两层防护

1.  外网部署了WAF设备拦截,对常规的SQL注入关键字有拦截;

2.  绕过外围的Waf设备后,发现应用程序本身也对SQL注入漏洞进行了严格的过滤;

这相当于两个WAF串联的情况,非常难解决。接下来看一下这个注入点情况:

使用burpsuite不断地抓包重放,当看到这个POST请求的时候,proCode=002&[email protected](防止泄露项目信息,原来的数据包就不贴图了),发现参数的值中有一个@符号,直觉和经验告诉我,就觉得这里面会存在安全问题因为我猜想,参数值为了保留@这个特殊字符,一定会对很多危险字符做出让步。所以重点对specIds参数进行了测试,还真发现了SQL注入漏洞。这个注入漏洞是这样判断出来的:

proCode=002&[email protected]*(1-0),返回正常

proCode=002&[email protected]*(1-1),返回错误

红队第6篇:Oracle注入漏洞绕waf的新语句

  • SQL注入拦截关键字判断

这些都是SQL注入漏洞的基础,这里就不细讲了。接下来要做的是通过这个注入漏洞跑出数据,否则客户不认可这个漏洞。

首先看一下这个注入点过滤了哪些字符,specIds参数经过大量的手工测试,发现至少有以下过滤:

1.  and、or 、xor、like、true等常见SQL语句的关键字通通不能用,大小写转换也不行。

2.  substr、ascii、CHR、wm_concat、lower、upper等Oracle常见sql语句出数据的关键函数不能用。

3.  | 、<、>、!等被干掉。(对于Oracle注入来讲,|竖杠被过滤掉,受限是非常大的

4.  select、from等SQL注入出数据的关键字被干掉。

看到这里感觉挺难的,但是比较幸运的是,这个specIds参数的单引号、()左右括号、*没有过滤。尤其是单引号没被过滤,这个非常关键,为这个注入漏洞能够跑出数据留下了一线生机!

  • 查看Oracle数据库手册

select、from这两个关键字被过滤了,想要出数据很难的。于是我从网上各种搜索,把Oracle数据库的关于数据查询的各种函数都找出来了,测试了一遍,几乎全被拦截掉了。但是幸运的是有一个instr函数成功绕过了所有防护,没被拦截。

接下来看看Oracle数据库手册上对INSTR函数的用法怎么描述的(这些翻译过来的中文使用说明看起来非常难以理解,我看了大半天才看明白):

语法: INSTR(string1, string2[a,b])

功能: 得到在string1中包含string2的位置。string1是从左边开始检查的,开始的位置为a,如果a是一个负数,那么string1是从右边开始进行扫描的。第b次出现的位置将被返回。a和b都缺省设置为1,这将会返回在string1中第一次出现string2的位置。如果string2在a和b的规定下没有找到,那么返回0。位置的计算是相对于string1的开始位置的,不管a和b的取值是多少。

红队第6篇:Oracle注入漏洞绕waf的新语句

根据手册构造出了以下SQL注入语句:[email protected]*(instr(sql插入点,'%s',%s)-(%s-1))

“sql插入点”需要替换成我们想要查询的sql语句,这里需要找一个不包含select、from的语句写法,最终经过测试,发现以下语句可行:

utl_inaddr.get_host_address(),组合起来就是:

[email protected]*(instr(utl_inaddr.get_host_address(),'%s',%s)-(%s-1)) &channelId=128

  • python脚本编写

以下是我写的python脚本的一个片段,我把域名、url地址都给打码了,大家可以照着改出一版自己的小脚本:

红队第6篇:Oracle注入漏洞绕waf的新语句

红队第6篇:Oracle注入漏洞绕waf的新语句

 Part3 总结 

1.  Oracle注入、Mysql注入等等遇到过不了的WAF,多去查查相关数据库的各种特殊函数,非常有用。

2.  SQL注入漏洞的防护最好使用预编译,对于不能使用预编译的情况,记得过滤的关键字一定要全面。

3.  SQL注入漏洞深挖,总会有的。业务复杂度越来越高,各种研发人员更替,研发人员水平参差不齐,业务着急上线疏忽了安全问题整改等原因造成了这一现象。

红队第6篇:Oracle注入漏洞绕waf的新语句

专注于红队、蓝队技术分享

每周一篇,敬请关注

红队第6篇:Oracle注入漏洞绕waf的新语句

原文始发于微信公众号(网络安全abc123):红队第6篇:Oracle注入漏洞绕waf的新语句

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月2日14:40:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  红队第6篇:Oracle注入漏洞绕waf的新语句 http://cn-sec.com/archives/969381.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: