IT貓撲網:您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置: 首頁數據庫MSSQL → SQL Server數據庫觸發(fā)器安全隱患解析

SQL Server數據庫觸發(fā)器安全隱患解析

時間:2015-06-28 00:00:00 來源:IT貓撲網 作者:網管聯盟 我要評論(0)

觸發(fā)器權限和所有權

CREATE TRIGGER 權限默認授予定義觸發(fā)器的表所有者、sysadmin 固定服務器角色成員以及 db_owner 和 db_ddladmin 固定數據庫角色成員,并且不可轉讓。

需要的環(huán)境

本文需要的環(huán)境是已經獲取了sql服務器的以上其中一個權限,目的是為了留下隱蔽的后門,不被管理員發(fā)現。即使發(fā)現了也是加密的(可以破解,不過有些管理員不懂,也不會注意,相關信息google下)。

觸發(fā)器是在對表進行插入(insert)、更新(update)或刪除(delete)操作時,自動執(zhí)行的存儲過程。最常見用于執(zhí)行敏感數據操作時做歷史記錄。

本文以動網論壇dvbbs為例,我們已經拿到了db_owner權限(注意:并不是說dvbbs本身有漏洞)。因為只是db_owner權限,所以讀者想去執(zhí)行"xp_cmdshell",就不再本文范圍了,相信讀過本文后,只要有系統權限,做個系統的后門也是簡單的。先回想一下通常我們使用數據庫時要做什么和關心什么。

為什么要使用觸發(fā)器作后門

管理員首先會把sql文件執(zhí)行下,然后導入mdb的內容,平時使用頂多備份下,還原下。通常不會有人去看觸發(fā)器的內容,查看觸發(fā)器可以使用命令"exec sp_helptrigger 'dv_admin'",或者在企業(yè)管理器中選擇"管理觸發(fā)器"。因為動網根本沒有用到觸發(fā)器,也沒有提到觸發(fā)器,所以動網的管理員不會去看的。于是我們在里面寫的內容就相對安全了。

思路

觸發(fā)器主要是用來做歷史記錄的,當然可以把管理員更改密碼和添加用戶的歷史記錄下。放進一個管理員通常不會注意的、普通用戶又可以看到的地方。

動網的密碼有md5加過密的,加密的操作是asp程序在服務器上來完成的,等數據庫拿到數據的時候已經是加過密的了。但是動網同時把密碼以明文方式放入dv_log表中,就給了我們方便。只要拿到dv_log表中l(wèi)_content字段的內容,然后判斷是否管理員在執(zhí)行敏感操作,后門思路就形成了。

使用過程――代碼解析

代碼片斷:創(chuàng)建觸發(fā)器。

create trigger dv_admin_history

on Dv_log

with encryption

for insertas

as

觸發(fā)器需要建立在Dv_log表上,這里放入的是明文密碼。我們并不知道管理員密碼設置有多長,只能是把里面的有密碼的字段內容全部取出。觸發(fā)器最好是加密的,加密后,管理員即使看到了,也不知道這里是什么東西。在insert(加入)數據時執(zhí)行觸發(fā)器。

取出來的值應該放入一個普通用戶能看到的地方,這樣只要有了普通用戶的權限就可以看到密碼。動網數據庫中,最大并且可以存放數據的字段管理員通常都會看到。所以必須找出來一個管理員不會看,而其他用戶也不會注意的地方。

我選擇放在一個新建用戶的用戶信息里(以下通稱這個用戶為"汪財",親切點),這樣我們登陸時就可以看到了(注意:登陸時有日志的,記錄最后登陸ip,大家自己解決)。

有以下幾個字段適于存放:

1、Userphoto,字段類型:varchar(255)。記錄了汪財的照片地址。可以存放小于255的數據。

2、Usersign,字段類型:varchar(255)。汪財的簽名,如果放這里,汪財就不能發(fā)貼了,否則后果自負(發(fā)貼會顯示簽名,地球人都能看到)。

3、Useremail,字段類型:nvarchar(255)。汪財的email,使用時需要轉換類型。

4、Userinfo,字段類型:text。汪財的用戶資料。該字段很特殊,有很多"",每一對""之間都有著不同的含義。動網很懶的,為了避免字段太多,就把一堆信息全都放入一個字段里,用""分開,當查詢某一項信息時,取出來全部,然后分割下,就是需要的數據了。

解決的問題:

1、如果都放滿了。

理論上,如果我們看到了第一個字段有了東西,就應該拿筆記下來,然后刪除掉。觸發(fā)器會自動檢查大小后繼續(xù)使用。再次強調下,本文例子針對動網,大家應該具體問題具體分析。

2、管理員的日志中,有很多日志,怎么判斷它就是在記錄更改密碼。

在管理員操作用戶時,當然會在"user.asp"或者"admin.asp"中操作,所以我們判斷條件需要:

select @passinfo = l_content from inserted where l_type = 1 and (l_touser = 'user.asp' or l_touser = 'admin.asp')

在l_touser為user.asp或者admin.asp時,說明管理員在操作(查看,更新,刪除)用戶或者管理員。在l_type = 1時,說明執(zhí)行了更新操作,l_content字段里面有密碼(如果管理員更新了密碼,或者新建了帳戶)。因此,查詢inserted表中的l_content,賦值給@passinfo代碼片斷:更新汪財的usersign字段。

if (len(@usersign) < 150 or @usersign is null)

begin if (@usersign is null)

set @usersign = ' '

set @passinfo = @usersign + @passinfo

update Dv_User set usersign = @passinfo where username = @username

commit tran

returnend

end

首次更新時,usersign字段里沒有內容,而SQL Server里null加任何數都是null,所以需要判斷is null之后,給null賦值為一個空格。其他幾個字段的方法和這里大同小異,只是一個轉換nvarchar和""的組合時多了點。最后判斷如果字段內容太多就不再寫了,為了提高性能,也可以把最后的判斷寫在前面,一旦數據過多,就不需要再繼續(xù)執(zhí)行了。

首次更新時,汪財的usersign字段里沒有內容,而SQL Server里null加任何數都是null,所以需要判斷is null之后,給null賦值為一個空格。其他幾個字段的方法和這里大同小異,只是一個轉換nvarchar和""的組合時多了點。最后判斷如果字段內容太多就不再寫了,為了提高性能,也可以把最后的判斷寫在前面,一旦數據過多,就不需要再繼續(xù)執(zhí)行了。

關鍵詞標簽:SQL Server,數據庫

相關閱讀

文章評論
發(fā)表評論

熱門文章 淺談JSP JDBC來連接SQL Server 2005的方法 淺談JSP JDBC來連接SQL Server 2005的方法 SqlServer2005對現有數據進行分區(qū)具體步驟 SqlServer2005對現有數據進行分區(qū)具體步驟 sql server系統表損壞的解決方法 sql server系統表損壞的解決方法 MS-SQL2005服務器登錄名、角色、數據庫用戶、角色、架構的關系 MS-SQL2005服務器登錄名、角色、數據庫用戶、角色、架構的關系

相關下載

    人氣排行 配置和注冊ODBC數據源-odbc數據源配置教程 如何遠程備份(還原)SQL2000數據庫 SQL2000數據庫遠程導入(導出)數據 SQL2000和SQL2005數據庫服務端口查看或修改 修改Sql Server唯一約束教程 SQL Server 2005降級到2000的正確操作步驟 sql server系統表損壞的解決方法 淺談JSP JDBC來連接SQL Server 2005的方法