无码高清免费亚洲,向日葵视频色板下载

您當(dāng)前所在位置：首頁 → 數(shù)據(jù)庫 → MSSQL → 講解SQL Server數(shù)據(jù)庫的觸發(fā)器安全隱患

講解SQL Server數(shù)據(jù)庫的觸發(fā)器安全隱患 時(shí)間：2015/6/28來源：IT貓撲網(wǎng)作者：網(wǎng)管聯(lián)盟我要評(píng)論(0)

觸發(fā)器權(quán)限和所有權(quán)

CREATE TRIGGER 權(quán)限默認(rèn)授予定義觸發(fā)器的表所有者、sysadmin 固定服務(wù)器角色成員以及 db_owner 和 db_ddladmin 固定數(shù)據(jù)庫角色成員，并且不可轉(zhuǎn)讓。

需要的環(huán)境

本文需要的環(huán)境是已經(jīng)獲取了sql服務(wù)器的以上其中一個(gè)權(quán)限，目的是為了留下隱蔽的后門，不被管理員發(fā)現(xiàn)。即使發(fā)現(xiàn)了也是加密的（可以破解，不過有些管理員不懂，也不會(huì)注意，相關(guān)信息google下）。

觸發(fā)器是在對(duì)表進(jìn)行插入（insert）、更新（update）或刪除（delete）操作時(shí)，自動(dòng)執(zhí)行的存儲(chǔ)過程。最常見用于執(zhí)行敏感數(shù)據(jù)操作時(shí)做歷史記錄。

本文以動(dòng)網(wǎng)論壇dvbbs為例，我們已經(jīng)拿到了db_owner權(quán)限（注意：并不是說dvbbs本身有漏洞）。因?yàn)橹皇莇b_owner權(quán)限，所以讀者想去執(zhí)行"xp_cmdshell"，就不再本文范圍了，相信讀過本文后，只要有系統(tǒng)權(quán)限，作個(gè)系統(tǒng)的后門也是簡(jiǎn)單的。先回想一下通常我們使用數(shù)據(jù)庫時(shí)要做什么和關(guān)心什么。

為什么要使用觸發(fā)器作后門

管理員首先會(huì)把sql文件執(zhí)行下，然后導(dǎo)入mdb的內(nèi)容，平時(shí)使用頂多備份下，還原下。通常不會(huì)有人去看觸發(fā)器的內(nèi)容，查看觸發(fā)器可以使用命令"exec sp_helptrigger 'dv_admin'"，或者在企業(yè)管理器中選擇"管理觸發(fā)器"。因?yàn)閯?dòng)網(wǎng)根本沒有用到觸發(fā)器，也沒有提到觸發(fā)器，所以動(dòng)網(wǎng)的管理員不會(huì)去看的。于是我們?cè)诶锩鎸懙膬?nèi)容就相對(duì)安全了。

思路

觸發(fā)器主要是用來做歷史記錄的，當(dāng)然可以把管理員更改密碼和添加用戶的歷史記錄下。放進(jìn)一個(gè)管理員通常不會(huì)注意的、普通用戶又可以看到的地方。

動(dòng)網(wǎng)的密碼有md5加過密的，加密的操作是asp程序在服務(wù)器上來完成的，等數(shù)據(jù)庫拿到數(shù)據(jù)的時(shí)候已經(jīng)是加過密的了。但是動(dòng)網(wǎng)同時(shí)把密碼以明文方式放入dv_log表中，就給了我們方便。只要拿到dv_log表中l(wèi)_content字段的內(nèi)容，然后判斷是否管理員在執(zhí)行敏感操作，后門思路就形成了。

使用過程――代碼解析

代碼片斷：創(chuàng)建觸發(fā)器。

create trigger dv_admin_history
on Dv_log
with encryption
for insertas
as

觸發(fā)器需要建立在Dv_log表上，這里放入的是明文密碼。我們并不知道管理員密碼設(shè)置有多長，只能是把里面的有密碼的字段內(nèi)容全部取出。觸發(fā)器最好是加密的，加密后，管理員即使看到了，也不知道這里是什么東西。在insert（加入）數(shù)據(jù)時(shí)執(zhí)行觸發(fā)器。

取出來的值應(yīng)該放入一個(gè)普通用戶能看到的地方，這樣只要有了普通用戶的權(quán)限就可以看到密碼。動(dòng)網(wǎng)數(shù)據(jù)庫中，最大并且可以存放數(shù)據(jù)的字段管理員通常都會(huì)看到。所以必須找出來一個(gè)管理員不會(huì)看，而其他用戶也不會(huì)注意的地方。

我選擇放在一個(gè)新建用戶的用戶信息里（以下通稱這個(gè)用戶為"汪財(cái)"，親切點(diǎn)），這樣我們登陸時(shí)就可以看到了（注意：登陸時(shí)有日志的，記錄最后登陸ip，大家自己解決）。

有以下幾個(gè)字段適于存放：

1、Userphoto，字段類型：varchar(255)。記錄了汪財(cái)?shù)恼掌刂��？梢源娣判∮?55的數(shù)據(jù)。

2、Usersign，字段類型：varchar(255)。汪財(cái)?shù)暮灻绻胚@里，汪財(cái)就不能發(fā)貼了，否則后果自負(fù)（發(fā)貼會(huì)顯示簽名，地球人都能看到）。

3、Useremail，字段類型：nvarchar(255)。汪財(cái)?shù)膃mail，使用時(shí)需要轉(zhuǎn)換類型。

4、Userinfo，字段類型：text。汪財(cái)?shù)挠脩糍Y料。該字段很特殊，有很多""，每一對(duì)""之間都有著不同的含義。動(dòng)網(wǎng)很懶的，為了避免字段太多，就把一堆信息全都放入一個(gè)字段里，用""分開，當(dāng)查詢某一項(xiàng)信息時(shí)，取出來全部，然后分割下，就是需要的數(shù)據(jù)了。

解決的問題：

1、如果都放滿了。

理論上，如果我們看到了第一個(gè)字段有了東西，就應(yīng)該拿筆記下來，然后刪除掉。觸發(fā)器會(huì)自動(dòng)檢查大小后繼續(xù)使用。再次強(qiáng)調(diào)下，本文例子針對(duì)動(dòng)網(wǎng)，大家應(yīng)該具體問題具體分析。

2、管理員的日志中，有很多日志，怎么判斷它就是在記錄更改密碼。

在管理員操作用戶時(shí)，當(dāng)然會(huì)在"user.asp"或者"admin.asp"中操作，所以我們判斷條件需要：

select @passinfo = l_content from inserted where l_type = 1 and (l_touser = 'user.asp' or l_touser = 'admin.asp')

在l_touser為user.asp或者admin.asp時(shí)，說明管理員在操作（查看，更新，刪除）用戶或者管理員。在l_type = 1時(shí)，說明執(zhí)行了更新操作，l_content字段里面有密碼（如果管理員更新了密碼，或者新建了帳戶）。因此，查詢inserted表中的l_content，賦值給@passinfo代碼片斷：更新汪財(cái)?shù)膗sersign字段。

if (len(@usersign) < 150 or @usersign is null)
begin if (@usersign is null)
set @usersign = ' '
set @passinfo = @usersign + @passinfo
update Dv_User set usersign = @passinfo where username = @username
commit tran
returnend
end

首次更新時(shí)，usersign字段里沒有內(nèi)容，而sql server里null加任何數(shù)都是null，所以需要判斷is null之后，給null賦值為一個(gè)空格。其他幾個(gè)字段的方法和這里大同小異，只是一個(gè)轉(zhuǎn)換nvarchar和""的組合時(shí)多了點(diǎn)。最后判斷如果字段內(nèi)容太多就不再寫了，為了提高性能，也可以把最后的判斷寫在前面，一旦數(shù)據(jù)過多，就不需要再繼續(xù)執(zhí)行了。

首次更新時(shí)，汪財(cái)?shù)膗sersign字段里沒有內(nèi)容，而SQL Server里null加任何數(shù)都是null，所以需要判斷is null之后，給null賦值為一個(gè)空格。其他幾個(gè)字段的方法和這里大同小異，只是一個(gè)轉(zhuǎn)換nvarchar和""的組合時(shí)多了點(diǎn)。最后判斷如果字段內(nèi)容太多就不再寫了，為了提高性能，也可以把最后的判斷寫在前面，一旦數(shù)據(jù)過多，就不需要再繼續(xù)執(zhí)行了。

關(guān)鍵詞標(biāo)簽：SQL Server,數(shù)據(jù)庫,觸

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>