Oracle injection
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
이 게시물은 https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/에서 삭제된 게시물의 웨이백 머신 복사본을 제공합니다.
SSRF
Oracle을 사용하여 Out of Band HTTP 및 DNS 요청을 수행하는 것은 잘 문서화되어 있지만, SQL 데이터 유출의 수단으로도 사용됩니다. 우리는 항상 이러한 기술/기능을 수정하여 다른 SSRF/XSPA를 수행할 수 있습니다.
Oracle 설치는 정말 고통스러울 수 있으며, 특히 명령을 시도하기 위해 빠른 인스턴스를 설정하려는 경우 더욱 그렇습니다. Appsecco의 친구이자 동료인 Abhisek Datta가 https://github.com/MaksymBilenko/docker-oracle-12c를 알려주었고, 이를 통해 t2.large AWS Ubuntu 머신과 Docker에서 인스턴스를 설정할 수 있었습니다.
나는 --network="host"
플래그와 함께 도커 명령을 실행하여 이 블로그 게시물의 과정 동안 Oracle을 전체 네트워크 접근이 가능한 네이티브 설치로 모방할 수 있었습니다.
URL 또는 호스트/포트 번호 사양을 지원하는 Oracle 패키지
호스트 및 포트 사양을 지원하는 패키지와 기능을 찾기 위해 Oracle Database Online Documentation에서 Google 검색을 실행했습니다. 구체적으로,
검색 결과는 다음과 같습니다 (모두 외부 네트워크를 수행하는 데 사용할 수 있는 것은 아님)
DBMS_NETWORK_ACL_ADMIN
UTL_SMTP
DBMS_XDB
DBMS_SCHEDULER
DBMS_XDB_CONFIG
DBMS_AQ
UTL_MAIL
DBMS_AQELM
DBMS_NETWORK_ACL_UTILITY
DBMS_MGD_ID_UTL
UTL_TCP
DBMS_MGWADM
DBMS_STREAMS_ADM
UTL_HTTP
이 간단한 검색은 DBMS_LDAP
와 같은 패키지를 명백히 건너뜁니다 (호스트 이름과 포트 번호를 전달할 수 있음) 문서 페이지가 단순히 다른 위치로 안내하기 때문입니다. 따라서 제가 놓쳤을 수 있는 외부 요청을 만들기 위해 악용될 수 있는 다른 Oracle 패키지가 있을 수 있습니다.
어쨌든, 우리가 발견하고 나열한 패키지 중 일부를 살펴보겠습니다.
DBMS_LDAP.INIT
DBMS_LDAP
패키지는 LDAP 서버에서 데이터에 접근할 수 있도록 합니다. init()
함수는 LDAP 서버와의 세션을 초기화하며 호스트 이름과 포트 번호를 인수로 받습니다.
이 함수는 아래와 같이 DNS를 통해 데이터 유출을 보여주기 위해 이전에 문서화되었습니다.
그러나 이 함수가 호스트 이름과 포트 번호를 인수로 받기 때문에, 이를 사용하여 포트 스캐너처럼 작동할 수 있습니다.
다음은 몇 가지 예입니다.
ORA-31203: DBMS_LDAP: PL/SQL - Init Failed.
는 포트가 닫혀 있음을 나타내지만 세션 값은 포트가 열려 있음을 가리킵니다.
UTL_SMTP
UTL_SMTP
패키지는 SMTP를 통해 이메일을 보내기 위해 설계되었습니다. Oracle 문서 사이트에 제공된 예제는 이 패키지를 사용하여 이메일을 보내는 방법을 보여줍니다. 그러나 우리에게 흥미로운 점은 호스트 및 포트 사양을 제공할 수 있는 능력입니다.
아래는 2초의 타임아웃을 가진 UTL_SMTP.OPEN_CONNECTION
함수의 간단한 예입니다.
ORA-29276: transfer timeout
는 포트가 열려 있지만 SMTP 연결이 설정되지 않았음을 나타내고, ORA-29278: SMTP transient error: 421 Service not available
는 포트가 닫혀 있음을 나타냅니다.
UTL_TCP
UTL_TCP
패키지와 그 절차 및 함수는 서비스와의 TCP/IP 기반 통신을 허용합니다. 특정 서비스에 맞게 프로그래밍된 경우, 이 패키지는 네트워크로의 접근 방법이 되거나 모든 TCP/IP 연결의 모든 측면을 제어할 수 있으므로 전체 서버 측 요청을 수행할 수 있습니다.
Oracle 문서 사이트의 예제는 이 패키지를 사용하여 웹 페이지를 가져오기 위해 원시 TCP 연결을 만드는 방법을 보여줍니다. 우리는 이를 조금 더 단순화하여 메타데이터 인스턴스나 임의의 TCP/IP 서비스에 요청을 만드는 데 사용할 수 있습니다.
흥미롭게도, 원시 TCP 요청을 작성할 수 있는 능력 덕분에 이 패키지는 모든 클라우드 제공자의 인스턴스 메타데이터 서비스에 쿼리하는 데에도 사용될 수 있습니다. 메서드 유형과 추가 헤더는 모두 TCP 요청 내에서 전달될 수 있습니다.
UTL_HTTP 및 웹 요청
아마도 모든 Out of Band Oracle SQL Injection 튜토리얼에서 가장 일반적이고 널리 문서화된 기술은 UTL_HTTP
패키지입니다. 이 패키지는 문서에서 다음과 같이 정의됩니다 - The UTL_HTTP package makes Hypertext Transfer Protocol (HTTP) callouts from SQL and PL/SQL. You can use it to access data on the Internet over HTTP.
당신은 또한 다음과 같은 쿼리를 사용하여 기본적인 포트 스캐닝을 수행할 수 있습니다.
ORA-12541: TNS:no listener
또는 TNS:operation timed out
는 TCP 포트가 닫혀 있다는 신호이며, ORA-29263: HTTP protocol error
또는 데이터는 포트가 열려 있다는 신호입니다.
제가 과거에 사용했던 또 다른 패키지는 HTTPURITYPE
Oracle 추상 타입의 GETCLOB()
메서드로, URL과 상호작용할 수 있게 해주며 HTTP 프로토콜을 지원합니다. GETCLOB()
메서드는 URL에서 GET 응답을 CLOB 데이터 타입으로 가져오는 데 사용됩니다.[select HTTPURITYPE('http://169.254.169.254/latest/meta-data/instance-id').getclob() from dual;
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
Last updated