ANTICHAT — форум по информационной безопасности, OSINT и технологиям

И опять я про Oracle

Представим ситуацию:
1. Back-end: Oracle Database Sever (8i-10g).
2. Front-end: Apache+php(любой http сервер+любой интерпретатор не важно какой но для наглядности возьмем php, именно его я и использую при написании данной статьи).
3. Задача: обойти ограничение и получить как можно больше информации
4. Защита:фильтр where, set, insert в запросе.
5. Мы будем рассматривать инъекцию в pl/sql процедуру которая в свою очередь уже выполняет sql запрос


Первое и самое главное что делается после обнаружения sql|pl/sql инъекции
это подбор столбцов тут обычно проблем не возникает проблемы идут далее когда мы хотим узнать название таблиц и столбцов.
Не думаю что стоит но просили писать более детально так что буду объяснять что это за запрос.
Table_name это колонка с именем таблицы которая находится в таблице All_tables, where OWNER=USER тут всё чуть сложнее owner это столбец в котором содержится имя пользователя являющегося "хозяином" таблицы, user это функция которая возвращает имя текущего пользователя.
Ну вот делаем такой запрос и... в ответ тишина, сервер как-будто просто "обрубил" сессию, знакомо?
Но паниковать не стоит и делать запросы на выборку всех таблиц и колонок тоже не стоит, насчет таблиц еще может и можно но вот колонки, вряд ли сервер вам позволит получить такое количество инфы (размеры буфера которые предусмотрены для oci и.т.д и.т.п).
Выход из сложившийся ситуации есть, даже не выход а выходы, он заключается в немалом количестве функций для работы с текстом в oracle бд.
Ну опять-же меньше текста больше дела

Для наглядности создадим с БД уязвимую процедуру

На том что делает процедура долго останавливаться не буду, опять же всё просто
1.Получаем параметр
2.Создаем курсор
3.Парсим курсор
4.Выполняем курсор
5.Вывод на екран.

Из php вызывать как
Думаю тут объяснять нечего не надо.
Вступления и подготовка закончены теперь к делу.

Вариант первый: chr();
вместо where мы вставляем '||CHR(119)||'HERE то есть символ W "довставляется" функцией CHR() и добавляется в запрос используя символы конкатенации строк ||.
Как видно выше where мы не передаём по этой причине запрос проходит. Пользуясь данным методом можно много чего обойти например фильтрацию кавычек это неоднократно упоминалось многими авторами.

Вариант второй: utl_encode.mimeheader_decode()

Тут тот же метод только мы используем другую функцию для работы со строками.
Можно фантазировать и далее и фантазия приведет к такому
А это уже обход IDS, плюс именно данной функции в том что кавычки в тексте можно расставить и после кодирования что удобно ну и еще возможность явно указать в какой кодировке текст это так-же удобно при работе с не английскими символами.

Footer

Данная статья не совсем статья это просто набор советов не более того. Я не использовал base64 сознательно так как в виду популярности данного алгоритма любая нормальная IDS обращает на него внимание да и примеров его использования вы найдете уйму. Я не претендую на то что это единственный способ, наоборот, более того это советы не и предназначены они для того чтоб показать в каком направлении смотреть.
P.S Мой русский оставляет желать лучшего, я это знаю и начал над этим работать.


(с) 2009 by dsu from Ukrainian Security Community