高级Mysql攻击技术(翻译blackhat 2009文章)
|
来源:vfocus.net 作者:vfocus 发布时间:2010-01-11
|
|
1.简介(文章中的堆查询其实就是联查) 这个文章主要描述怎样再LAMP和WAMP平台上实施远程命令执行代码通过SQL注入漏洞。攻击者再Mysql平台上进行SQL注入必须处理一
些限制和约束。例如,在一个不流行的平台中进行远程命令执行漏洞的一些查询语句缺乏复杂的声明,相对其他平台来说。再最近的这
些年一些人开始仔细研究,这些人专注于利用SQL注入漏洞进行随心所欲的代码执行漏洞。然而,这些类型的攻击集中在支持堆查询
DBMS连接上。这个文档将会解释怎么使用不同的方法去完成那些不支持堆查询的DBMS连接,并且得到跟支持堆查询的DBMS相同的结果
。
2.描述 SQL注入漏洞是把恶意代码注入到正常的SQL查询中的一种攻击方式.SQL注入攻击允许恶意的用户去得到数据库的结构和挖掘出宝贵的
应用操作系统环境。 运行命令执行漏洞已经被证实了是最高级别的恶意用户去获得成功的SQL注入攻击行为。 Mysql是在LAMP和WAMP上最流行的数据库服务器软件套件。DBMS连接默认是不支持堆查询。这就使得一些技术去实施远程代码执行漏
洞的条件是在某些平台需要支持堆查询。
3.堆查询 堆查询是一个去定义是否数据库连接层某个时刻能运行多于一个的查询语句。每个查询用分号分隔开。 下面的就是再SQL注入攻击中的一个堆查询的例子 SELECT name FROM record WHERE id = 1; DROP table record; DROP table address--
在上面的例子中,在同一时刻这里有三个分离的查询请求。第一个查询是来自现实中应用程序的正常查询。这个查询允许进行数据库
查询,然而当堆查询默认进入Mysql-php应用,一个错误信息将会被应用程序返回,同时没有任何语句被执行。
4.攻击应用程序上不支持Mysql堆查询的方法 已经被发现的Mysql UDF(User Define Function)库创建技术,它能被用在支持堆查询的应用上进行远程代码命令执行漏洞。这个技术
已经再数据库黑客大曝光做了详细解释。
在Blackhat 2009欧洲大会上,Bernando Damele解释了相似的技术。下面的步骤来自于它的whitepaper 1)创建一个字段的表,数据类型是longblob 2)把本地文件的内容进行对等的16进制的转换。 3)切分16进制的字符串到1024字符长的大块 4)INSERT 第一个大块进支持表的字段里面 5)UPDATE其他的大的块添加到这个表的字段里面 6)导出表中的字段中的16进制的文件的内容到一个指定的目标文件路径,使用的方法是SELECT's INTO DUMPFILE.再Mysql上这个是可
以实现的,一个查询例如SELECT 0x41将会返回ASCII字母编码A。
这里有一些环境去实施这个堆查询 1) DBMS连接必须支持堆查询 2) Session用户必须有FILE,INSERT,CREATE和UPDATE权限 3)再一些低于Mysql 5.1.19的版本中,工项目路径必须对于Session用户可写。 4)再高于Mysql 5.1.19的版本上,系统变量plugin_dir必须存在并且对于Session用户可写。
现在大家已经知道了这个技术有一些限制,默认的,作为mysql用户启动的Linux Mysql共享库的路径是不可写的。
然而这个特性并不适合于windows。默认windows的Mysql运行账户是Local System,也就是说文件可以被用户创建到任何文件夹。最
新的Mysql版本,系统变量plugin_dir已经不存在了,这个目录可以创建同时可以被Session用户写入。
5.攻击Mysql不支持堆查询的方法
由于再Mysql-PHP平台上不支持堆查询,运行另外一个查询再正常的语句后是不可能的。然而运行另外一个SELECT查询是可以使用
UNION语法的。UNION语法是合并多个SELECT查询到一个单独的结果中。
Mysql 5.1的官方手册(省略自己去官方看SELECTG语法)
从上面可以看到我们可以通过UNION SELECT使用SELECT INTO DUMPFILE去把可执行的文件上传到数据库服务器上。当注入这个查询的
时候,只有唯一的语句可以创建全部的文件。同样的,这个文件不能被另外一个SELECT INTO DUMPFILE语句覆盖掉。
来自Mysql官方文档 Only the last SELECT statement can use INTO OUTFILE/DUMPFILE. (However,the entire UNION result is written to the
file.) 由于UNION查询的特定,数据将会写入到文件中。 例如 SELECT content FROM data WHERE id=21 UNION SELECT 0x8A789C....... INTO DUMPFILE ‘file’
第一个查询返回任何数据,这个数据将会覆盖文件头部。预防这个的方法就是,我们可以再WHERE字段插入任何不存在的值所以没有
数据从这个查询冲被取出。 这个文件可以被运行再WEB目录里面,在这个例子里面DBMS连接不支持堆查询,所以最好的方法是上传文件到Apache WEB server目录
,然而这个只可能再mysql数据库和WEB SERVER再同一个机器上。PHP脚本可以运行SYSTEM函数。同样的这个技术也有一些限制: 1)必须知道Apache的WEB SERVER目录 2)Session用户必须有FILE权限 3)Session用户可以访问上传到WEB SERVER服务器的目录的文件。 自己补充一个4) GPC为off
6.WEB服务器目录的指纹 在一些实例中WEB服务器的主目录不是默认安装的目录,指纹获取可以被用于获取这个信息,这里主要有2个方式去找到WEB服务器目录
的指纹。主要是通过应用程序返回的错误信息可以得到这个指纹。
6.1通过错误信息方法或者指纹 默认的PHP关闭了错误信息。这里有多种方法去返回包含WEB服务器目录的错误信息。例如,再SQL语句部分输入一个单引号,错误信
息就暴露出来了。下面有一个使用'出错的例子 Fatal error: Call to a member function execute() on a non-object in /var/www/output.php on line 15 6.2通过LOAD_FILE方式获得指纹 LOAD_FILE可以去读取数据库服务器上的文件。去使用这个过程,Session用户必须有文件权限。这个文件同时对于所有用户可取同时
文件的大小必须要小于Apache配置文件中的max_allowd_packet的大小。再Apache配置文件中DocumentRoot指令包含了Apache WEB服
务器的主目录。
这里有一个用LOAD_FILE去读APACHE配置文件的例子,默认安装的Ubuntu Linux SELECT LOAD_FILE('/etc/apache2/sites-available/default')
7.最大的恶意代码运行的大小
Apache中的LimitRequestLine指令允许WEB服务器去削减HTTP请求的大小。这包含了所有的通过GET请求发送的请求信息,默认值是
8190Bytes。如果SQL注入再GET请求上同时这个恶意代码超过了这个大小的话,Apache WEB服务器将会回复一个HTTP 414的状态码。 。
默认的Apache WEB服务器设置LimitRequestBody为2GB,这个是HTTP请求的body体中的大小。所以SQL注入发送到POST请求里面,可以
给恶意代码提供2G的发挥空间。
WEB应用防火墙可以去禁止打的请求。这个长的请求也可以是缓冲区溢出攻击。
8.恶意代码的压缩和解压缩。
PHP包含了一个zlib的模块可以去读和写gzip压缩文件。这个模块可以把一个恶意文件通过压缩成一个非常小的文件。Zlib模块可以
压缩我们的文件从9635字节到630字节。当压缩文件成功上传到WEB服务器上以后,gzuncompress过程可以反解码出这个文件。当然条
件还是Mysql数据库和Apahce WEB服务器再相同的机器上。
9.处理字段 UNION字段将会联合从复合的SELECT语句中连接到一起。这两个查询必须有相同的字段数。 例如 SELECT name, add, content FROM data WHERE id=21 UNION SELECT NULL,NULL, 0x8A789C....... INTO DUMPFILE ‘file’ 第一个的查询的结果将会加入到我们的文件中。我们再第五部分讲过,我们可以再WHERE字段插入任意不存在的值,所以再第一个查
询中是没有任意结果的。然而,由于再这个查询中需要额外的字段请求,任何坏的字符数据被加入到了我们的文件中。 我们可以用一下方法查询 SELECT name, add, content FROM data WHERE id=4444 UNION SELECT 0x8A789C.........,0x00,0x00 INTO DUMPFILE ‘file’ 另外一种方式是SELECT name, add, content FROM data WHERE id=4444 UNION SELECT 0x8A, 0x78,0x9CED......9EEC....... INTO DUMPFILE ‘file’
10. 再LAMP平台上进行远程代码执行漏洞。 在LAMP平台上进行远程代码执行漏洞有一些限制,默认的mysql是以mysql用户启动的。恶意文件通过SELECT INTO DUMPFILE必须需要
Mysql用户有写权限。默认的上传的文件是不可以运行的,但是可以读的。文件属组是Mysql用户。PHP脚本可以读这个文件和写个相
同内容的新文件。这个文件创建所有者是www-data用户,PHP文件的权限可以通过运行PHP SYSTEM函数进行修改。
11.在WAMP平台上进行远程代码执行 远程代码执行漏洞再WAMP上只有少数的限制。默认mysql是作为本地系统管理员用户登录的,默认的上传的PHP脚本可以添加用户,增
加服务器等操作。
参考: [1] LAMP http://en.wikipedia.org/wiki/LAMP_(software_bundle) [2] WAMP http://en.wikipedia.org/wiki/WAMP [3] St acked Quer i es http://www.sqlinjectionwiki.com/Default.aspx?Page=Stacked%2 0Query&AspxAutoDetectCookieSupport=1 [4] MySQL 5.1 Ref e renc e Manual : Adding New Funct ions http://dev.mysql.com/doc/refman/5.1/en/adding-functions.html [5] Dat abase Hacke r ’ s Handbook http://www.ngssoftware.com/press ... se-hackershandbook- published/ [6] Advanc ed SQL Inj e ct ion Exploi t at ion to Ope r at ing Sys t em Ful l Cont rol http://www.blackhat.com/presentations/bh-europe- 09/Guimaraes/Blackhat-europe-09-Damele-SQLInjectionslides. pdf [7] MySQL 5.1 Ref e renc e Manual : INSERT Synt ax http://dev.mysql.com/doc/refman/5.1/en/insert.html [8] MySQL 5.1 Ref e renc e Manual : UPDATE Synt ax http://dev.mysql.com/doc/refman/5.1/en/update.html [9] MySQL 5.1 Ref e renc e Manual : SELECT Synt ax http://dev.mysql.com/doc/refman/5.1/en/select.html [10] MySQL 5.1 Ref er ence Manual : Pr ivi l eges Provided b y MySQL http://dev.mysql.com/doc/refman/5.1/en/privilegesprovided. html [11] MySQL 5.1 Ref er ence Manual : CREATE FUNCTION Syntax http://dev.mysql.com/doc/refman/5.1/en/create-functionudf. html [12] Shared Libra r y http://en.wikipedia.org/wiki/Library_(computing)#Shared_librari es [14] MySQL 5.1 Ref er ence Manual : UNION s ynt ax http://dev.mysql.com/doc/refman/5.1/en/union.html [15] PHP Sys t em Funct ion http://ar.php.net/system [16] MySQL 5.1 Ref er ence Manual : St r ing Funct ions http://dev.mysql.com/doc/refman/5.1/en/string-functions.html [17] Apache Core Fe atur es http://httpd.apache.org/docs/2.1/mod/core.html#documentroot [18] PHP Zl ib Funct ions http://www.php.net/manual/en/ref.zlib.php [19] PHP gz compr es s Funct ion http://www.php.net/manual/en/function.gzcompress.php [20] PHP gzuncompr es s Funct ion http://www.php.net/manual/en/function.gzuncompress.php [21] Adl er32 Che cksum http://en.wikipedia.org/wiki/Adler-32 [22] RFC 1950 http://tools.ietf.org/html/rfc1950
|
|
|
[推荐]
[评论(0条)]
[返回顶部] [打印本页]
[关闭窗口] |
|
|
|
|
|
|
推荐广告 |
|
|
|
|