第8篇:Oracle注入漏洞绕waf的新语句

Part1 前言

大家好，上期分享了一次MS12-020蓝屏漏洞的巧用。这篇文章源于之前做的一个银行红队项目，遇到到了一个Oracle数据库的SQL注入漏洞，但是网上能搜索到的各种SQL语句都没法出数据，所以客户不认可这个漏洞的危害性，于是就开始了对这个Oracle的SQL注入绕WAF的探索过程：

Part2 研究过程

• SQL注入判断过程

经过对Web应用一系列的手工漏洞测试，发现这个网站对Web漏洞的拦截至少有两层防护：

1. 外网部署了WAF设备拦截，对常规的SQL注入关键字有拦截；

2. 绕过外围的Waf设备后，发现应用程序本身也对SQL注入漏洞进行了严格的过滤；

这相当于两个WAF串联的情况，非常难解决。接下来看一下这个注入点情况：

使用burpsuite不断地抓包重放，当看到这个POST请求的时候，proCode=002&specIds=8866@871（防止泄露项目信息，原来的数据包就不贴图了），发现参数的值中有一个@符号，直觉和经验告诉我，就觉得这里面会存在安全问题。因为我猜想，参数值为了保留@这个特殊字符，一定会对很多危险字符做出让步。所以重点对specIds参数进行了测试，还真发现了SQL注入漏洞。这个注入漏洞是这样判断出来的：

proCode=002&specIds=8866@871*(1-0)，返回正常

proCode=002&specIds=8866@871*(1-1)，返回错误

• SQL注入拦截关键字判断

这些都是SQL注入漏洞的基础，这里就不细讲了。接下来要做的是通过这个注入漏洞跑出数据，否则客户不认可这个漏洞。

首先看一下这个注入点过滤了哪些字符，specIds参数经过大量的手工测试，发现至少有以下过滤：

1. and、or 、xor、like、true等常见SQL语句的关键字通通不能用，大小写转换也不行。

2. substr、ascii、CHR、wm_concat、lower、upper等Oracle常见sql语句出数据的关键函数不能用。

3. | 、<、>、!等被干掉。（对于Oracle注入来讲，|竖杠被过滤掉，受限是非常大的）

4. select、from等SQL注入出数据的关键字被干掉。

看到这里感觉挺难的，但是比较幸运的是，这个specIds参数的单引号、（）左右括号、*没有过滤。尤其是单引号没被过滤，这个非常关键，为这个注入漏洞能够跑出数据留下了一线生机！

• 查看Oracle数据库手册

select、from这两个关键字被过滤了，想要出数据很难的。于是我从网上各种搜索，把Oracle数据库的关于数据查询的各种函数都找出来了，测试了一遍，几乎全被拦截掉了。但是幸运的是有一个instr函数成功绕过了所有防护，没被拦截。

接下来看看Oracle数据库手册上对INSTR函数的用法怎么描述的（这些翻译过来的中文使用说明看起来非常难以理解，我看了大半天才看明白）：

语法: INSTR（string1, string2[a,b]）

功能: 得到在string1中包含string2的位置。string1是从左边开始检查的，开始的位置为a，如果a是一个负数，那么string1是从右边开始进行扫描的。第b次出现的位置将被返回。a和b都缺省设置为1，这将会返回在string1中第一次出现string2的位置。如果string2在a和b的规定下没有找到，那么返回0。位置的计算是相对于string1的开始位置的，不管a和b的取值是多少。

根据手册构造出了以下SQL注入语句：specIds=816Q@Q871*(instr(sql插入点,'%s',%s)-(%s-1))

“sql插入点”需要替换成我们想要查询的sql语句，这里需要找一个不包含select、from的语句写法，最终经过测试，发现以下语句可行：

utl_inaddr.get_host_address()，组合起来就是：

specIds=8866@871*(instr(utl_inaddr.get_host_address(),'%s',%s)-(%s-1)) &channelId=128

• python脚本编写

以下是我写的python脚本的一个片段，我把域名、url地址都给打码了，大家可以照着改出一版自己的小脚本：

Part3 总结

1. Oracle注入、Mysql注入等等遇到过不了的WAF，多去查查相关数据库的各种特殊函数，非常有用。

2. SQL注入漏洞的防护最好使用预编译，对于不能使用预编译的情况，记得过滤的关键字一定要全面。

3. SQL注入漏洞深挖，总会有的。业务复杂度越来越高，各种研发人员更替，研发人员水平参差不齐，业务着急上线疏忽了安全问题整改等原因造成了这一现象。

专注于红队、蓝队技术分享

每周一篇，敬请关注