科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道SQL SERVER的安全隐患:触发器

SQL SERVER的安全隐患:触发器

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

CREATE TRIGGER 权限默认授予定义触发器的表所有者、sysadmin 固定服务器角色成员以及 db_owner 和 db_ddladmin 固定数据库角色成员,并且不可转让。加密的触发器是不可见,管理员并不能知道里面写了什么,十有八九会认为是动网自带的什么东西。

作者:空虚浪子心[xgc] 来源:eNet硅谷动力 2008年9月18日

关键字: SQL Server 触发器 数据库漏洞

  • 评论
  • 分享微博
  • 分享邮件

  触发器权限和所有权

  CREATE TRIGGER 权限默认授予定义触发器的表所有者、sysadmin 固定服务器角色成员以及 db_owner 和 db_ddladmin 固定数据库角色成员,并且不可转让。

  需要的环境

  本文需要的环境是已经获取了sql服务器的以上其中一个权限,目的是为了留下隐蔽的后门,不被管理员发现。即使发现了也是加密的(可以破解,不过有些管理员不懂,也不会注意,相关信息google下)。

  正文:

  触发器是在对表进行插入(insert)、更新(update)或删除(delete)操作时,自动执行的存储过程。最常见用于执行敏感数据操作时做历史记录。

  本文以动网论坛dvbbs为例,我们已经拿到了db_owner权限(注意:并不是说dvbbs本身有漏洞)。因为只是db_owner权限,所以读者想去执行“xp_cmdshell”,就不再本文范围了,相信读过本文后,只要有系统权限,作个系统的后门也是简单的。先回想一下通常我们使用数据库时要做什么和关心什么。

  为什么要使用触发器作后门

  管理员首先会把sql文件执行下,然后导入mdb的内容,平时使用顶多备份下,还原下。通常不会有人去看触发器的内容,查看触发器可以使用命令“exec sp_helptrigger 'dv_admin'”,或者在企业管理器中选择“管理触发器”。因为动网根本没有用到触发器,也没有提到触发器,所以动网的管理员不会去看的。于是我们在里面写的内容就相对安全了。

  思路

  触发器主要是用来做历史记录的,当然可以把管理员更改密码和添加用户的历史记录下。放进一个管理员通常不会注意的、普通用户又可以看到的地方。

  动网的密码有md5加过密的,加密的操作是asp程序在服务器上来完成的,等数据库拿到数据的时候已经是加过密的了。但是动网同时把密码以明文方式放入dv_log表中,就给了我们方便。只要拿到dv_log表中l_content字段的内容,然后判断是否管理员在执行敏感操作,后门思路就形成了。

  使用过程――代码解析

  代码片断:创建触发器。

  create trigger dv_admin_history

  on Dv_log

  with encryption

  for insertas

  as

  触发器需要建立在Dv_log表上,这里放入的是明文密码。我们并不知道管理员密码设置有多长,只能是把里面的有密码的字段内容全部取出。触发器最好是加密的,加密后,管理员即使看到了,也不知道这里是什么东西。在insert(加入)数据时执行触发器。

  取出来的值应该放入一个普通用户能看到的地方,这样只要有了普通用户的权限就可以看到密码。动网数据库中,最大并且可以存放数据的字段管理员通常都会看到。所以必须找出来一个管理员不会看,而其他用户也不会注意的地方。

  我选择放在一个新建用户的用户信息里(以下通称这个用户为“汪财”,亲切点),这样我们登陆时就可以看到了(注意:登陆时有日志的,记录最后登陆ip,大家自己解决)。

  有以下几个字段适于存放:

  1、Userphoto,字段类型:varchar(255)。记录了汪财的照片地址。可以存放小于255的数据。

  2、Usersign,字段类型:varchar(255)。汪财的签名,如果放这里,汪财就不能发贴了,否则后果自负(发贴会显示签名,地球人都能看到)。

  3、Useremail,字段类型:nvarchar(255)。汪财的email,使用时需要转换类型。

  4、Userinfo,字段类型:text。汪财的用户资料。该字段很特殊,有很多“  ”,每一对“  ”之间都有着不同的含义。动网很懒的,为了避免字段太多,就把一堆信息全都放入一个字段里,用“  ”分开,当查询某一项信息时,取出来全部,然后分割下,就是需要的数据了。

  需要解决的问题:

  1、如果都放满了。

  理论上,如果我们看到了第一个字段有了东西,就应该拿笔记下来,然后删除掉。触发器会自动检查大小后继续使用。再次强调下,本文例子针对动网,大家应该具体问题具体分析。

  2、管理员的日志中,有很多日志,怎么判断它就是在记录更改密码。

  在管理员操作用户时,当然会在“user.asp”或者“admin.asp”中操作,所以我们判断条件需要:

  select @passinfo = l_content from inserted where l_type = 1 and (l_touser = 'user.asp' or l_touser = 'admin.asp')

  在l_touser为user.asp或者admin.asp时,说明管理员在操作(查看,更新,删除)用户或者管理员。在l_type = 1时,说明执行了更新操作,l_content字段里面有密码(如果管理员更新了密码,或者新建了帐户)。因此,查询inserted表中的l_content,赋值给@passinfo

  代码片断:更新汪财的usersign字段。

  if (len(@usersign) <150 or @usersign is null)

  begin if (@usersign is null)

  set @usersign = ' '

  set @passinfo = @usersign + @passinfo

  update Dv_User set usersign = @passinfo where username = @username

  commit tran

  returnend

  end

  首次更新时,汪财的usersign字段里没有内容,而sqlserver里null加任何数都是null,所以需要判断is null之后,给null赋值为一个空格。其他几个字段的方法和这里大同小异,只是一个转换nvarchar和“  ”的组合时多了点。最后判断如果字段内容太多就不再写了,为了提高性能,也可以把最后的判断写在前面,一旦数据过多,就不需要再继续执行了。

  首次更新时,汪财的usersign字段里没有内容,而sqlserver里null加任何数都是null,所以需要判断is null之后,给null赋值为一个空格。其他几个字段的方法和这里大同小异,只是一个转换nvarchar和“  ”的组合时多了点。最后判断如果字段内容太多就不再写了,为了提高性能,也可以把最后的判断写在前面,一旦数据过多,就不需要再继续执行了。

  使用过程――使用触发器留后门

  步骤:

  1、本地架设iis,管理员密码:admin,admin999,admin999

  2、注册用户“汪财”。

  3、添加后台用户:kxlzx,密码为:hahaha,前台用户为kxlzx

  4、管理员登陆,修改密码为:admin888

  5、使用“汪财”登陆,查看个人信息。

  使用查询分析器,或者其他可以执行sql的东西,连接到数据库服务器。

  修改bbbbbb为新建的用户名“汪财”,执行代码,就创建了触发器。只能创建一次,如果需要更改,请把代码最前面的create trigger改为alter trigger。创建后,管理员只要执行了更新用户操作,就会记录到相应的字段里。使用企业管理器查看触发器。

打开后,显示为:

  /****** Encrypted object is not transferable, and script can not be generated. ******/

  加密的触发器是不可见,管理员并不能知道里面写了什么,十有八九会认为是动网自带的什么东西。

  下面轮到管理员上钩了。

  使用管理员在后台登陆,添加一个后台管理员:kxlzx,密码:cnxhacker.com前台用户:kxlzx。更改管理员自己的密码为:admin888。

  登陆“汪财”,看看个人信息:

“汪财”的个人照片已经成了:

  username2=kxlzx&password2=cnxhacker.com&username1=kxlzx&isdisp=1&Submit=%CC%ED+%BC%D3oldusername=admin&username2=admin&password2=admin888&AddAcceptIP=&adduser=admin&id=1&Submit=%B8%FC+%D0%C2

  可以看到,里面有两条信息,一个是kxlzx的密码为:cnxhacker.com,一个是admin的密码为admin888。

  如果继续操作管理员,则里面的数据继续增加,直到大于varchar(150),然后转为写入其他字段,以此类推。

  上面仅仅是一个使用例子,触发器的作用很强大,如果可以获得的数据库sa权限,甚至可以执行xp_cmdshell等激情的操作。希望读者不要把本文单纯的当作一个工具,而是作为一个思路,才会有更广阔的空间。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章