信息系統(tǒng)應(yīng)用安全

1、信息系統(tǒng)應(yīng)用安全上機(jī)實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)題目：SQL注入實(shí)驗(yàn)院系：信息安全班級(jí)：0903班學(xué)號(hào)：U200915352學(xué)生姓名：曹晨業(yè)實(shí)驗(yàn)?zāi)繕?biāo)：1. 掌握SQL 注入的原理2. 掌握注入漏洞的利用技巧；3. 理解注入漏洞的防范措施；4. 了解Oracle 注入相關(guān)知識(shí)。實(shí)驗(yàn)要求:學(xué)習(xí)SQL 注入漏洞的診斷技術(shù)及利用方法，要求：1）能診斷出web 網(wǎng)頁或者存儲(chǔ)過程存在的注入漏洞；2）分析漏洞的成因及提出相應(yīng)的解決方案。SQL 注入的原理：SQL注入原理：目前，幾乎所有的Web應(yīng)用在后臺(tái)都使用某種SQL數(shù)據(jù)庫。跟大多數(shù)語言一樣，SQL 語法允許數(shù)據(jù)庫命令和用戶數(shù)據(jù)混雜在一起的。如果開發(fā)人員不細(xì)心的話，用戶數(shù)

2、據(jù)就有可能被解釋成命令，這就是潛在的SQL 注入漏洞，針對(duì)此類漏洞，一旦參數(shù)精心構(gòu)造，遠(yuǎn)程用戶就不僅能向Web 應(yīng)用輸入數(shù)據(jù)，而且還可以在數(shù)據(jù)庫甚至OS 上執(zhí)行任意命令。存在SQL注入漏洞的根本原因：在用戶輸入作為SQL語句參數(shù)時(shí)，未進(jìn)行充分的檢查驗(yàn)證，導(dǎo)致程序命令和用戶數(shù)據(jù)（即用戶輸入）之間混淆，從而使得攻擊者有機(jī)會(huì)將程序命令當(dāng)作用戶輸入的數(shù)據(jù)提交給Web 程序，造成破壞。利用SQL 注入漏洞：事實(shí)上，SQL 注入漏洞在前臺(tái)web 程序或后臺(tái)數(shù)據(jù)庫提供的函數(shù)或存儲(chǔ)過程中都有可能存在。一旦存在用戶輸入驗(yàn)證不足的SQL 注入漏洞，那么攻擊者只要傳入精心構(gòu)造的參數(shù)，使原有SQL 語句邏輯上合法，并

3、執(zhí)行額外的惡意注入代碼，就可以實(shí)現(xiàn)SQL 注入漏洞的利用。下面就舉例兩種利用方式，依照具體的環(huán)境可能方法有所修改：（1） 繞過身份驗(yàn)證如某web 程序有一個(gè)login 頁面，這個(gè)用戶名控制著用戶是否有權(quán)訪問，要求用戶輸入一個(gè)用戶名和口令，連接數(shù)據(jù)庫的語句為：“Select * from users where username=username and password=password;”攻擊者輸入用戶名為aaor 1=1，口令為1234or 1=1，一旦web 程序?qū)τ脩糨斎腧?yàn)證不足，則該內(nèi)容提交后，服務(wù)器執(zhí)行攻擊者構(gòu)造的SQL 命令，就得到語句如下：“Select * from user

4、s where username=aa or 1=1 and password=1234 or 1=1;”從而身份驗(yàn)證得以通過，系統(tǒng)會(huì)錯(cuò)誤的授權(quán)攻擊者訪問權(quán)限。（2） 執(zhí)行攻擊代碼如oracle 存儲(chǔ)過程SYS.LTADM.EXECSQL('');存在注入漏洞。唯一的VARCHAR2 參數(shù)未充分驗(yàn)證的情況下，在SYS 模式下執(zhí)行參數(shù)。于是攻擊者在普通用戶test 下創(chuàng)建惡意的PL/SQL 函數(shù)test.f1，并構(gòu)造參數(shù)如下：“EXEC SYS.LTADM.EXECSQL(' SELECT test.f1 from dual');”將會(huì)直接引發(fā)執(zhí)行“select

5、test.f1 from dual”，這樣惡意代碼test.f1 將以SYS 用戶的權(quán)限得到執(zhí)行。實(shí)驗(yàn)環(huán)境：數(shù)據(jù)庫版本：Oracle 10g ；操作系統(tǒng)：windows7 SP1 (32bit);Oracle server 安裝指南：略，沒有太大問題。Win7用戶在安裝時(shí)，運(yùn)行Setup.exe程序可能需在兼容性選項(xiàng)中選擇以XP兼容模式運(yùn)行這個(gè)程序。同樣，在使用SQLPLUS時(shí)，也需要在XP兼容模式下運(yùn)行。SQL 注入漏洞的診斷：診斷準(zhǔn)備階段：使用sql plus 接口連接oracle server。在命令行下，以system 用戶身份登錄sql plus。創(chuàng)建新用戶caochenye，并授予

6、新用戶Create session，create procedure 和alter session 權(quán)限。-“create user caochenye identified by ccy；”作用是創(chuàng)建新用戶caochenye，密碼為ccy。-“grant create session，create procedure，alter session to caochenye；”語句是為新用戶caochenye 分配權(quán)限。這三個(gè)權(quán)限是本實(shí)驗(yàn)caochenye 用戶必須獲得的最低權(quán)限。其中Create session 權(quán)限使得caochenye可以連接oracle server，create pro

7、cedure 權(quán)限用于創(chuàng)建PL/SQL 子程序，alter session權(quán)限用于后期追蹤oracle server 的trace 文件。另外，因?yàn)長(zhǎng)TADM 程序包屬SYS 模式下，且非普通用戶可以執(zhí)行，所以還需要獲得該包的執(zhí)行權(quán)限。這需要在服務(wù)器端以SYS 模式登錄后，授予execute on LTADM 的權(quán)限給caochenye。-“conn sys/吃cycpy as sysdba”這是超級(jí)管理員SYS 的連接命令，吃cycpy 為SYS 的登錄密碼。注意sys 必須在oracle server 端的system 模式下才能登陸成功。-“grant execute on SYS.LT

8、ADM to caochenye; ”是將SYS.LTADM 包的執(zhí)行權(quán)限授予caochenye 用戶。注入漏洞的診斷：a以普通用戶caochenye登錄，執(zhí)行“SYS.LTADM.COMPRESSSTATE('AAAA',2);”。由找到的參數(shù)信息知，其第一個(gè)參數(shù)是VARCHAR2 字符型，所以我隨意填充了易于標(biāo)識(shí)的參數(shù)AAAA，第二個(gè)參數(shù)NUMBER 型，所以填充數(shù)字2。-“alter session set sql_trace=TRUE / FALSE;”這是用于開啟/ 關(guān)閉session trace 的，如果不開啟則追蹤不到存儲(chǔ)過程的語句執(zhí)行。-“exec SYS.LT

9、ADM.COMPRESSSTATE(AAAA, 2);”是執(zhí)行存儲(chǔ)過程的命令。b在服務(wù)器端oracle 下D:oracleadminorcludump 文件夾找到最新生成的trace文件，查看是否又出現(xiàn)參數(shù)AAAA的語句?？梢钥吹轿覀兲畛涞膮?shù)出現(xiàn)兩次，第一次是我們的執(zhí)行語句，第二次是該存儲(chǔ)過程內(nèi)部的拼接SQL語句。由于觀察到用戶參數(shù)以字符串拼接的方式直接出現(xiàn)在SQL語句中，說明SYS.LTADM.COMPRESSSTATE 存在SQL注入漏洞。SQL 注入漏洞的利用：a 首先以普通用戶caochenye 登錄，并在caochenye 用戶下創(chuàng)建一個(gè)惡意的權(quán)限提升函數(shù)f1，主要功能是grant dba to caochenye。在函數(shù)執(zhí)行之前，通過對(duì)user_role_privs 視圖的select 查詢，檢查此時(shí)caochenye 擁有的所有角色，得到空集。b 開啟trace，根據(jù)上述出現(xiàn)的拼接語句，構(gòu)造合邏輯的SQL 執(zhí)行：再次查詢user_role_privs 視圖，檢查caochenye 所擁有的角色，發(fā)現(xiàn)caochenye 已經(jīng)由普通用戶提升為dba用戶，說明攻擊成功。c同時(shí)在udump 文件夾下，找到剛剛生成的trace 文件，查看攻擊