Oracle injection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
この投稿は、https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/から削除された投稿のWayback Machineコピーを提供します。
Oracleを使用してOut of Band HTTPおよびDNSリクエストを行うことはよく文書化されていますが、SQLデータを抽出する手段としても利用されます。これらの技術/関数を常に変更して、他のSSRF/XSPAを実行することができます。
Oracleのインストールは非常に面倒な場合があります。特に、コマンドを試すために迅速なインスタンスをセットアップしたい場合はなおさらです。私の友人であり同僚のAppseccoのAbhisek Dattaが、私にhttps://github.com/MaksymBilenko/docker-oracle-12cを教えてくれました。これにより、t2.largeのAWS UbuntuマシンとDocker上にインスタンスをセットアップすることができました。
私は、ブログ投稿の期間中にOracleをネイティブインストールとして完全なネットワークアクセスで模倣できるように、--network="host"
フラグを使用してdockerコマンドを実行しました。
ホストとポートの指定をサポートするパッケージや関数を見つけるために、Oracle Database Online DocumentationでGoogle検索を行いました。具体的には、
検索は以下の結果を返しました(すべてがアウトバウンドネットワークを実行するために使用できるわけではありません)
DBMS_NETWORK_ACL_ADMIN
UTL_SMTP
DBMS_XDB
DBMS_SCHEDULER
DBMS_XDB_CONFIG
DBMS_AQ
UTL_MAIL
DBMS_AQELM
DBMS_NETWORK_ACL_UTILITY
DBMS_MGD_ID_UTL
UTL_TCP
DBMS_MGWADM
DBMS_STREAMS_ADM
UTL_HTTP
この粗い検索は明らかに DBMS_LDAP
のようなパッケージをスキップしています(これはホスト名とポート番号を渡すことを許可します)ドキュメントページは単に別の場所にあなたを指し示します。したがって、私が見逃したかもしれないアウトバウンドリクエストを行うために悪用できる他のOracleパッケージがあるかもしれません。
いずれにせよ、上記で発見しリストしたいくつかのパッケージを見てみましょう。
DBMS_LDAP.INIT
DBMS_LDAP
パッケージはLDAPサーバーからデータにアクセスすることを許可します。init()
関数はLDAPサーバーとのセッションを初期化し、ホスト名とポート番号を引数として取ります。
この関数は以前にDNSを介してデータの抽出を示すために文書化されています。以下のように
しかし、この関数はホスト名とポート番号を引数として受け取るため、ポートスキャナーのように機能させることもできます。
いくつかの例を示します。
ORA-31203: DBMS_LDAP: PL/SQL - Init Failed.
は、ポートが閉じていることを示しており、セッション値はポートが開いていることを指しています。
UTL_SMTP
UTL_SMTP
パッケージは、SMTPを介して電子メールを送信するために設計されています。Oracleのドキュメントサイトに提供されている例では、このパッケージを使用して電子メールを送信する方法が示されています。しかし、私たちにとって興味深いのは、ホストとポートの仕様を提供する能力です。
粗い例は、タイムアウトが2秒の UTL_SMTP.OPEN_CONNECTION
関数で以下に示されています。
ORA-29276: transfer timeout
はポートが開いているが、SMTP接続が確立されていないことを示し、ORA-29278: SMTP transient error: 421 Service not available
はポートが閉じていることを示します。
UTL_TCP
UTL_TCP
パッケージとその手続きおよび関数は、サービスとのTCP/IPベースの通信を可能にします。特定のサービス用にプログラムされている場合、このパッケージはネットワークへの侵入や、TCP/IP接続のすべての側面を制御できるため、完全なサーバーサイドリクエストを実行する手段となることがあります。
Oracleのドキュメントサイトの例では、このパッケージを使用して生のTCP接続を作成し、ウェブページを取得する方法が示されています。これをもう少し簡略化して、メタデータインスタンスや任意のTCP/IPサービスにリクエストを送信するために使用できます。
興味深いことに、生のTCPリクエストを作成する能力により、このパッケージはすべてのクラウドプロバイダーのインスタンスメタデータサービスをクエリするためにも使用できます。メソッドタイプと追加ヘッダーはすべてTCPリクエスト内で渡すことができます。
UTL_HTTPとWebリクエスト
おそらく、すべてのOut of Band Oracle SQL Injectionチュートリアルで最も一般的で広く文書化された技術は、UTL_HTTP
パッケージです。このパッケージは、文書によって次のように定義されています - UTL_HTTPパッケージは、SQLおよびPL/SQLからHypertext Transfer Protocol (HTTP) コールアウトを行います。これを使用して、HTTPを介してインターネット上のデータにアクセスできます。
あなたはさらに、次のようなクエリを使用して、基本的なポートスキャンを実行することもできます。
ORA-12541: TNS:no listener
または TNS:operation timed out
は、TCPポートが閉じていることを示すサインであり、ORA-29263: HTTP protocol error
またはデータは、ポートが開いていることを示すサインです。
私が過去に使用した別のパッケージは、さまざまな成功を収めた HTTPURITYPE
Oracle 抽象型の GETCLOB()
メソッド で、URLと対話し、HTTPプロトコルをサポートします。GETCLOB()
メソッドは、URLからのGETレスポンスを CLOBデータ型 として取得するために使用されます。[select HTTPURITYPE('http://169.254.169.254/latest/meta-data/instance-id').getclob() from dual;
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)