红队第6篇:Oracle注入漏洞绕waf的新语句
2022-5-3 00:1:4 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

 Part1 前言 

大家好,上期分享了一次MS12-020蓝屏漏洞的巧用。这篇文章源于之前做的一个银行红队项目,遇到到了一个Oracle数据库的SQL注入漏洞,但是网上能搜索到的各种SQL语句都没法出数据,所以客户不认可这个漏洞的危害性,于是就开始了对这个Oracle的SQL注入绕WAF的探索过程:

 Part2 研究过程 

  • SQL注入判断过程

经过对Web应用一系列的手工漏洞测试,发现这个网站对Web漏洞的拦截至少有两层防护

1.  外网部署了WAF设备拦截,对常规的SQL注入关键字有拦截;

2.  绕过外围的Waf设备后,发现应用程序本身也对SQL注入漏洞进行了严格的过滤;

这相当于两个WAF串联的情况,非常难解决。接下来看一下这个注入点情况:

使用burpsuite不断地抓包重放,当看到这个POST请求的时候,proCode=002&specIds=8866@871(防止泄露项目信息,原来的数据包就不贴图了),发现参数的值中有一个@符号,直觉和经验告诉我,就觉得这里面会存在安全问题因为我猜想,参数值为了保留@这个特殊字符,一定会对很多危险字符做出让步。所以重点对specIds参数进行了测试,还真发现了SQL注入漏洞。这个注入漏洞是这样判断出来的:

proCode=002&specIds=8866@871*(1-0),返回正常

proCode=002&specIds=8866@871*(1-1),返回错误

  • SQL注入拦截关键字判断

这些都是SQL注入漏洞的基础,这里就不细讲了。接下来要做的是通过这个注入漏洞跑出数据,否则客户不认可这个漏洞。

首先看一下这个注入点过滤了哪些字符,specIds参数经过大量的手工测试,发现至少有以下过滤:

1.  and、or 、xor、like、true等常见SQL语句的关键字通通不能用,大小写转换也不行。

2.  substr、ascii、CHR、wm_concat、lower、upper等Oracle常见sql语句出数据的关键函数不能用。

3.  | 、<、>、!等被干掉。(对于Oracle注入来讲,|竖杠被过滤掉,受限是非常大的

4.  select、from等SQL注入出数据的关键字被干掉。

看到这里感觉挺难的,但是比较幸运的是,这个specIds参数的单引号、()左右括号、*没有过滤。尤其是单引号没被过滤,这个非常关键,为这个注入漏洞能够跑出数据留下了一线生机!

  • 查看Oracle数据库手册

select、from这两个关键字被过滤了,想要出数据很难的。于是我从网上各种搜索,把Oracle数据库的关于数据查询的各种函数都找出来了,测试了一遍,几乎全被拦截掉了。但是幸运的是有一个instr函数成功绕过了所有防护,没被拦截。

接下来看看Oracle数据库手册上对INSTR函数的用法怎么描述的(这些翻译过来的中文使用说明看起来非常难以理解,我看了大半天才看明白):

语法: INSTR(string1, string2[a,b])

功能: 得到在string1中包含string2的位置。string1是从左边开始检查的,开始的位置为a,如果a是一个负数,那么string1是从右边开始进行扫描的。第b次出现的位置将被返回。a和b都缺省设置为1,这将会返回在string1中第一次出现string2的位置。如果string2在a和b的规定下没有找到,那么返回0。位置的计算是相对于string1的开始位置的,不管a和b的取值是多少。

根据手册构造出了以下SQL注入语句:specIds=816Q@Q871*(instr(sql插入点,'%s',%s)-(%s-1))

“sql插入点”需要替换成我们想要查询的sql语句,这里需要找一个不包含select、from的语句写法,最终经过测试,发现以下语句可行:

utl_inaddr.get_host_address(),组合起来就是:

specIds=8866@871*(instr(utl_inaddr.get_host_address(),'%s',%s)-(%s-1)) &channelId=128

  • python脚本编写

以下是我写的python脚本的一个片段,我把域名、url地址都给打码了,大家可以照着改出一版自己的小脚本:


 Part3 总结 

1.  Oracle注入、Mysql注入等等遇到过不了的WAF,多去查查相关数据库的各种特殊函数,非常有用。

2.  SQL注入漏洞的防护最好使用预编译,对于不能使用预编译的情况,记得过滤的关键字一定要全面。

3.  SQL注入漏洞深挖,总会有的。业务复杂度越来越高,各种研发人员更替,研发人员水平参差不齐,业务着急上线疏忽了安全问题整改等原因造成了这一现象。

专注于红队、蓝队技术分享

每周一篇,敬请关注


文章来源: https://mp.weixin.qq.com/s?__biz=MzU3MTU3NDk4Mw==&mid=2247485057&idx=1&sn=a9197b07a122a9b1ce8bba3a25d7f854&chksm=fcdf5929cba8d03f2b0fb7a6e1a258b9e21d8ab4e6b132ad1e4bb573923219835c8ee9f5a49d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh