一次平平无奇的 Oracle 注入

在某次项目中,首先是发现注入点,数据库是Oracle,利用方式是时间盲注:

因为需要具体数据,所以要深入利用,手工肯定不方便,所以直接上 Sqlmap:

Sqlmap也可以扫出该注入点,但想要进一步查询数据时,却发现Sqlmap利用不起来,无法查出数据:

为了确定查询数据失败原因,此时加上参数 -proxy http://127.0.0.1:1080 使流量经过burp,发现某些常用的查询方式,在该oracle数据库中会报错,如 SELECT banner FROM v$version WHERE ROWNUM=1 等(可能是数据库版本原因?)

语句错误返回

语句正常返回

使用其他某些语法也会报错,比如 Sqlmap payload 中的 CAST(%s AS VARCHAR(4000)) 、NVL(%s,' ') 等,常见的 COUNT 方法也会报错。

大概确定了查询数据失败原因。那解决问题的方法也很简单,就是把有问题的数据库方法找出来,然后进行相关的替换就可以了。

打开 Sqlmap 目录下 data/xml/queries.xml ,找到 Oracle 的payload

替换其中经过尝试会使程序错误的方法,其中 count 可以用 sum(1) 替代。同时也发现了 current_db 和 current_user 是同一个 payload,感觉有点问题,也顺便替换了,替换后的数据如下:

接下来就是修改具体的查询数据的语句了,其中有些 %s 占位符是命令行的输入,如 下面的 TABLE_NAME 的值就是命令行输入的 -T 参数的值

修改完成后,再使用 Sqlmap 跑数据,不断根据返回确定查询方法,根据请求结果调整 SQL 语句,最终能够跑起来了。

本以为这次平平无奇的注入就结束了,没想到新问题又出现了,Sqlmap 跑数据是能跑了,但因为注入点的利用方式是时间盲注,所以会受网络波动或者数据库响应的影响,跑出的数据经常会有错误,一看就不对劲,而且时间盲注效率很低,花时间的很多,数据输出很少,对于跑数据非常不方便:

所以需要想办法,解决上述问题。在之前的测试中也发现了,当数据库报错时,返回的请求结果和正常是不一样的,所以可以利用这两个不同的页面差异构造布尔盲注,Oracle 数据库可以利用 1/0 报错的特性(Mysql就不会报错),将时间盲注转换成布尔盲注。

但 Sqlmap 并没有这种检测方法,所以要在 /data/xml/payloads/boolean_blind.xml 修改 payload,加入以下方法:

css 复制代码
<test>
        <title>Oracle AND boolean-based blind - (custom)</title>
        <stype>1</stype>
        <level>1</level>
        <risk>1</risk>
        <clause>1</clause>
        <where>1</where>
        <vector> AND [RANDNUM]=(CASE WHEN ([INFERENCE]) THEN 1 ELSE 1/0 END)</vector>
        <request>
            <payload> AND  [RANDNUM]=(CASE WHEN ([RANDNUM]=[RANDNUM]) THEN [RANDNUM] ELSE  1/0 END )</payload>
        </request>
        <response> 
            <comparison> AND  [RANDNUM]=(CASE WHEN ([RANDNUM]=[RANDNUM1]) THEN [RANDNUM] ELSE  1/0 END) </comparison>
        </response>
        <details>
            <dbms>Oracle</dbms>
        </details>
    </test>

使 Sqlmap 能够按照自定义的语句查询数据结果:

最终,通过不断的测试,所有问题均已解决,能够非常高效的跑出具体的数据:

相关推荐
清和与九37 分钟前
binLog、redoLog和undoLog的区别
数据库·oracle
望获linux1 小时前
【实时Linux实战系列】FPGA 与实时 Linux 的协同设计
大数据·linux·服务器·网络·数据库·fpga开发·操作系统
总有刁民想爱朕ha1 小时前
Python自动化从入门到实战(24)如何高效的备份mysql数据库,数据备份datadir目录直接复制可行吗?一篇给小白的完全指南
数据库·python·自动化·mysql数据库备份
朝九晚五ฺ1 小时前
【Redis学习】持久化机制(RDB/AOF)
数据库·redis·学习
虾说羊1 小时前
sql中连接方式
数据库·sql
liweiweili1261 小时前
Django中处理多数据库场景
数据库·python·django
追逐时光者1 小时前
程序员必备!5 款免费又好用的数据库管理工具推荐
数据库
兮兮能吃能睡4 小时前
SQL中常见的英文术语及其含义
数据库·sql·oracle
Elastic 中国社区官方博客5 小时前
根据用户行为数据中的判断列表在 Elasticsearch 中训练 LTR 模型
大数据·数据库·人工智能·elasticsearch·搜索引擎·ai·全文检索
王道长服务器 | 亚马逊云7 小时前
AWS CloudWatch:服务器的“眼睛”,实时监控一切动向
服务器·数据库·aws