Oracle injection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Poslužite se ovim postom kao kopijom iz wayback mašine obrisanog posta sa https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/.
Korišćenje Oracle-a za slanje Out of Band HTTP i DNS zahteva je dobro dokumentovano, ali kao sredstvo za ekfiltraciju SQL podataka u injekcijama. Uvek možemo modifikovati ove tehnike/funkcije da bismo uradili druge SSRF/XSPA.
Instalacija Oracle-a može biti zaista bolna, posebno ako želite da postavite brzu instancu da isprobate komande. Moj prijatelj i kolega iz Appsecco, Abhisek Datta, ukazao mi je na https://github.com/MaksymBilenko/docker-oracle-12c koji mi je omogućio da postavim instancu na t2.large AWS Ubuntu mašini i Docker-u.
Pokrenuo sam docker komandu sa --network="host"
flag-om kako bih mogao da imitiram Oracle kao nativnu instalaciju sa punim pristupom mreži, tokom ovog blog posta.
Da bih pronašao bilo koje pakete i funkcije koje podržavaju specifikaciju hosta i porta, izvršio sam Google pretragu na Oracle Database Online Documentation. Konkretno,
Pretraga je vratila sledeće rezultate (neki se ne mogu koristiti za obavljanje izlazne mreže)
DBMS_NETWORK_ACL_ADMIN
UTL_SMTP
DBMS_XDB
DBMS_SCHEDULER
DBMS_XDB_CONFIG
DBMS_AQ
UTL_MAIL
DBMS_AQELM
DBMS_NETWORK_ACL_UTILITY
DBMS_MGD_ID_UTL
UTL_TCP
DBMS_MGWADM
DBMS_STREAMS_ADM
UTL_HTTP
Ova gruba pretraga očigledno preskočuje pakete kao što je DBMS_LDAP
(koji omogućava prosleđivanje imena hosta i broja porta) jer stranica sa dokumentacijom jednostavno upućuje na drugu lokaciju. Stoga, može postojati i drugi Oracle paketi koji se mogu zloupotrebiti za slanje izlaznih zahteva koje sam možda propustio.
U svakom slučaju, hajde da pogledamo neke od paketa koje smo otkrili i naveli iznad.
DBMS_LDAP.INIT
Paket DBMS_LDAP
omogućava pristup podacima sa LDAP servera. Funkcija init()
inicijalizuje sesiju sa LDAP serverom i uzima ime hosta i broj porta kao argument.
Ova funkcija je ranije dokumentovana da prikazuje eksfiltraciju podataka preko DNS-a, kao ispod
Međutim, s obzirom na to da funkcija prihvata ime hosta i broj porta kao argumente, možete to koristiti da funkcioniše kao skener portova.
Evo nekoliko primera
A ORA-31203: DBMS_LDAP: PL/SQL - Init Failed.
pokazuje da je port zatvoren dok vrednost sesije ukazuje na to da je port otvoren.
UTL_SMTP
Paket UTL_SMTP
je dizajniran za slanje e-mailova preko SMTP-a. Primer dat na Oracle dokumentacionom sajtu pokazuje kako možete koristiti ovaj paket za slanje e-maila. Za nas, međutim, zanimljivo je to što omogućava da se navedu host i specifikacija porta.
Grubi primer je prikazan ispod sa funkcijom UTL_SMTP.OPEN_CONNECTION
, sa vremenskim ograničenjem od 2 sekunde.
A ORA-29276: transfer timeout
pokazuje da je port otvoren, ali nije uspostavljena SMTP konekcija, dok ORA-29278: SMTP transient error: 421 Service not available
pokazuje da je port zatvoren.
UTL_TCP
Paket UTL_TCP
i njegove procedure i funkcije omogućavaju TCP/IP baziranu komunikaciju sa servisima. Ako je programiran za određeni servis, ovaj paket može lako postati način za ulazak u mrežu ili izvršiti potpune Server Side Requests, jer se svi aspekti TCP/IP konekcije mogu kontrolisati.
Primer na Oracle dokumentacionom sajtu pokazuje kako možete koristiti ovaj paket za uspostavljanje sirove TCP konekcije za preuzimanje web stranice. Možemo ga malo pojednostaviti i koristiti za slanje zahteva na instancu metapodataka, na primer, ili na proizvoljni TCP/IP servis.
Zanimljivo je da, zbog sposobnosti kreiranja sirovih TCP zahteva, ovaj paket se takođe može koristiti za upit usluge meta-podataka Instance svih provajdera u oblaku, jer se tip metode i dodatni zaglavlja mogu proslediti unutar TCP zahteva.
UTL_HTTP i Web Zahtevi
Možda najčešća i najviše dokumentovana tehnika u svakom tutorijalu o Oracle SQL Injection-u van kanala je UTL_HTTP
paket. Ovaj paket je definisan u dokumentaciji kao - UTL_HTTP paket omogućava pozive Hypertext Transfer Protocol (HTTP) iz SQL i PL/SQL. Možete ga koristiti za pristup podacima na Internetu preko HTTP-a.
Možete dodatno koristiti ovo za izvođenje nekih rudimentarnih skeniranja portova sa upitima kao što su
A ORA-12541: TNS:no listener
ili TNS:operation timed out
je znak da je TCP port zatvoren, dok je ORA-29263: HTTP protocol error
ili podaci znak da je port otvoren.
Drugi paket koji sam koristio u prošlosti sa različitim uspehom je GETCLOB()
metoda HTTPURITYPE
Oracle apstraktnog tipa koja vam omogućava da interagujete sa URL-om i pruža podršku za HTTP protokol. GETCLOB()
metoda se koristi za preuzimanje GET odgovora sa URL-a kao CLOB tip podataka.[select HTTPURITYPE('http://169.254.169.254/latest/meta-data/instance-id').getclob() from dual;
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)