Oracle作為目前社會上常用的大型數(shù)據(jù)庫它本身除了很好地支持各種SQL語句外，還提供了各種豐富的包，存儲過程，甚至支持java和創(chuàng)建library等特性，如此強(qiáng)大的功能為Hacking提供了很好的便利。

中培偉業(yè)《ORACLE數(shù)據(jù)庫管理與性能調(diào)優(yōu)實踐》培訓(xùn)專家楊老師指出，Oracle自身有很多默認(rèn)的帳戶，并且有很多的存儲過程，這些存儲過程是由系統(tǒng)建立的，很多默認(rèn)都是對public開放的，在過去的幾年里公布了很多oracle的漏洞，包括溢出和SQL注射在內(nèi)的許多漏洞。在這里面，SQL注射漏洞顯得格外嚴(yán)重，因為在Oracle里，在不加其他關(guān)鍵字AUTHID CURRENT_USER的情況下，創(chuàng)建的存儲過程在運(yùn)行時是以創(chuàng)建者身份運(yùn)行的，而public對這些存儲過程都有權(quán)限調(diào)用，所以一旦自帶存儲過程存在注射的話，很容易讓普通用戶提升到Oracle系統(tǒng)權(quán)限。

Oracle本身內(nèi)置了很多的帳戶，其中一些帳戶都有默認(rèn)的密碼并且具有CONNECT的權(quán)限，這樣如果oralce的端口沒有受到防火墻的保護(hù)又可以被人遠(yuǎn)程連接的話，就可以被人利用默認(rèn)帳戶遠(yuǎn)程登陸進(jìn)系統(tǒng)然后利用系統(tǒng)里的存儲過程的SQL注射漏洞，系統(tǒng)就會淪陷，當(dāng)然，登陸進(jìn)oracle還需要sid，不過這也并不困難，oracle的tnslintener默認(rèn)沒有設(shè)置密碼，完全可以用tnscmd.pl用services命令查出系統(tǒng)的sid（到比較新的版本，這個漏洞已經(jīng)被修復(fù)了），這也是非常經(jīng)典的入侵oracle的方式。
　　一、Oracle Web Hacking 技術(shù)背景
  oracle豐富的系統(tǒng)表。oracle幾乎所有的信息都存儲系統(tǒng)表里，當(dāng)前數(shù)據(jù)庫運(yùn)行的狀態(tài)，當(dāng)前用戶的信息，當(dāng)前數(shù)據(jù)庫的信息，用戶所能訪問的數(shù)據(jù)庫和表的信息......系統(tǒng)表就是整個數(shù)據(jù)庫的核心部分，通過恰當(dāng)?shù)夭樵冃枰南到y(tǒng)表，幾乎可以獲得所有的信息。如sys.v_$option就包含了當(dāng)前數(shù)據(jù)庫的一些信息，如是否支持java等，all_tables里就包含了所有的表信息，all_tab_colmuns包含所有的列信息等等，為我們獲得信息提供了非常大的便利，后面將有關(guān)于如何利用系統(tǒng)表獲取敏感信息的描述。
    oracle的各種漏洞里，需要特別說下存儲過程的注射，其實也并沒有什么神秘，存儲過程和函數(shù)一樣是接受用戶的輸入然后送到數(shù)據(jù)庫服務(wù)器解析執(zhí)行，如果是采取的組裝成SQL字符串的形式執(zhí)行的話，就很容易將數(shù)據(jù)和命令混淆，導(dǎo)致SQL注射。但是根據(jù)注射發(fā)生的點不同，一樣地注射漏洞的性質(zhì)也不同。Oracle使用的是PL/SQL，漏洞發(fā)生在select等DML語句的，因為不支持多語句的執(zhí)行，所以如果想運(yùn)行自己的語句如GRANT DBA TO LOVEHSELL這些DDL語句的話，就必須創(chuàng)建自己的函數(shù)或存儲過程，如果沒有這相關(guān)的權(quán)限還可以利用cursor注射，用dbms_sql包來饒過限制。

大多數(shù)的注射正是上面這些有限制的注射，必須依靠自己創(chuàng)建的一些其他包或者cursor來實現(xiàn)提升權(quán)限的目的，但是還是有些非常少見但是注射環(huán)境非常寬松的漏洞，就是用戶的輸入被放在begin和end之間的匿名pl/sql塊的注射，這種環(huán)境下的注射可以直接注射進(jìn)多語句，幾乎沒有任何限制，而可以看到，正是這種閃光的漏洞為我們的web注射技術(shù)帶來了怎樣的輝煌。
　　二、Oracle Web Hacking 基本思路
    下面說說如何確定目標(biāo)，注射參數(shù)的確定就由大家自己來了，主要是如何判斷數(shù)據(jù)庫屬于oracle，根據(jù)數(shù)據(jù)庫的特性很容易判斷出來一些腳本在出現(xiàn)數(shù)據(jù)庫查詢錯誤時，對錯誤信息沒有處理，也會泄露真實的后臺數(shù)據(jù)庫，這個可以很明顯地看出來。
    然后需要確定的是注射點的類型，一般的情況下，我們進(jìn)入的參數(shù)不是數(shù)字類型就基本是字符類型（其他很多人所說的搜索型注射其實還是應(yīng)該歸結(jié)于字符類型的），對于數(shù)字類型的基本不用考慮什么，很容易添加--注釋字符就可以讓語句正確閉合了，如果是字符類型的就要考慮如何讓整個語句正確，通常是添加'以及--這些注射字符來構(gòu)造自己的注射環(huán)境。在一些復(fù)雜的情況下，如同一個參數(shù)在多個sql語句和邏輯里出現(xiàn)，就要自己小心構(gòu)造出符合環(huán)境的注射語句了
    敏感數(shù)據(jù)只是我們想要的一部分，通常直接殺入oracle可能更有吸引力，這個時候查看系統(tǒng)的信息就非常地有價值了，對注射的靈活運(yùn)用也非常重要。oracle在啟動之后，把系統(tǒng)要用的一些變量都放置到一些特定的視圖當(dāng)中，可以利用這些視圖獲得想要的東西。
　　三、真實世界里的注射
    這個時候我們就可以根據(jù)自己的目標(biāo)考慮后續(xù)的入侵思路了，一種是向web方向發(fā)展，通過查詢數(shù)據(jù)庫的信息來滲透web，一種就是直接入侵?jǐn)?shù)據(jù)庫，當(dāng)然，最完美的情況下是oracle和web是一臺機(jī)器。
　　四、環(huán)境限制
  上面演示的是用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES這個函數(shù)的漏洞，漏洞跟版本有很大關(guān)系，所以上面的信息探測也比較重要。實際上，在早點的8i版本里也有類似的漏洞，ctxsys.driload.validate_stmt('grant dba to scott')這樣的形式可以直接以高權(quán)限身份執(zhí)行各種Oracle語句，也可以相應(yīng)地用在web環(huán)境注射里。只要存在可用來執(zhí)行多語句的漏洞，web注射就有非常大的利用價值。
　　五、關(guān)于防護(hù)
  首先就是盡量有好的編程習(xí)慣，避免使用字符串連接的方式來執(zhí)行Sql語句，如果一定要采用字符串連接方式來執(zhí)行Sql，那也對進(jìn)入的參數(shù)必須做好過濾，是數(shù)字類型的話就強(qiáng)制為數(shù)字，是字符串類型的就要做好過濾，從數(shù)據(jù)庫等其他途徑過來的數(shù)據(jù)也必須做好驗證，在web app上杜絕Sql注射漏洞。另外在Oralce方面就是要做好對1521端口的防火墻過濾，避免被人直接登陸，對一些不需要的包和存儲過程可以考慮刪除，對一些Sql注射漏洞也要及時做好補(bǔ)丁，避免數(shù)據(jù)庫的淪陷。