信息系統(tǒng)應(yīng)用安全

1、信息系統(tǒng)應(yīng)用安全上機實驗報告實驗題目：SQL注入實驗院系：信息安全班級：0903班學(xué)號：U200915352學(xué)生姓名：曹晨業(yè)實驗?zāi)繕耍?. 掌握SQL 注入的原理2. 掌握注入漏洞的利用技巧；3. 理解注入漏洞的防范措施；4. 了解Oracle 注入相關(guān)知識。實驗要求:學(xué)習(xí)SQL 注入漏洞的診斷技術(shù)及利用方法，要求：1）能診斷出web 網(wǎng)頁或者存儲過程存在的注入漏洞；2）分析漏洞的成因及提出相應(yīng)的解決方案。SQL 注入的原理：SQL注入原理：目前，幾乎所有的Web應(yīng)用在后臺都使用某種SQL數(shù)據(jù)庫。跟大多數(shù)語言一樣，SQL 語法允許數(shù)據(jù)庫命令和用戶數(shù)據(jù)混雜在一起的。如果開發(fā)人員不細心的話，用戶數(shù)

2、據(jù)就有可能被解釋成命令，這就是潛在的SQL 注入漏洞，針對此類漏洞，一旦參數(shù)精心構(gòu)造，遠程用戶就不僅能向Web 應(yīng)用輸入數(shù)據(jù)，而且還可以在數(shù)據(jù)庫甚至OS 上執(zhí)行任意命令。存在SQL注入漏洞的根本原因：在用戶輸入作為SQL語句參數(shù)時，未進行充分的檢查驗證，導(dǎo)致程序命令和用戶數(shù)據(jù)（即用戶輸入）之間混淆，從而使得攻擊者有機會將程序命令當(dāng)作用戶輸入的數(shù)據(jù)提交給Web 程序，造成破壞。利用SQL 注入漏洞：事實上，SQL 注入漏洞在前臺web 程序或后臺數(shù)據(jù)庫提供的函數(shù)或存儲過程中都有可能存在。一旦存在用戶輸入驗證不足的SQL 注入漏洞，那么攻擊者只要傳入精心構(gòu)造的參數(shù)，使原有SQL 語句邏輯上合法，并

3、執(zhí)行額外的惡意注入代碼，就可以實現(xiàn)SQL 注入漏洞的利用。下面就舉例兩種利用方式，依照具體的環(huán)境可能方法有所修改：（1） 繞過身份驗證如某web 程序有一個login 頁面，這個用戶名控制著用戶是否有權(quán)訪問，要求用戶輸入一個用戶名和口令，連接數(shù)據(jù)庫的語句為：“Select * from users where username=username and password=password;”攻擊者輸入用戶名為aaor 1=1，口令為1234or 1=1，一旦web 程序?qū)τ脩糨斎腧炞C不足，則該內(nèi)容提交后，服務(wù)器執(zhí)行攻擊者構(gòu)造的SQL 命令，就得到語句如下：“Select * from user

4、s where username=aa or 1=1 and password=1234 or 1=1;”從而身份驗證得以通過，系統(tǒng)會錯誤的授權(quán)攻擊者訪問權(quán)限。（2） 執(zhí)行攻擊代碼如oracle 存儲過程SYS.LTADM.EXECSQL('');存在注入漏洞。唯一的VARCHAR2 參數(shù)未充分驗證的情況下，在SYS 模式下執(zhí)行參數(shù)。于是攻擊者在普通用戶test 下創(chuàng)建惡意的PL/SQL 函數(shù)test.f1，并構(gòu)造參數(shù)如下：“EXEC SYS.LTADM.EXECSQL(' SELECT test.f1 from dual');”將會直接引發(fā)執(zhí)行“select

5、test.f1 from dual”，這樣惡意代碼test.f1 將以SYS 用戶的權(quán)限得到執(zhí)行。實驗環(huán)境：數(shù)據(jù)庫版本：Oracle 10g ；操作系統(tǒng)：windows7 SP1 (32bit);Oracle server 安裝指南：略，沒有太大問題。Win7用戶在安裝時，運行Setup.exe程序可能需在兼容性選項中選擇以XP兼容模式運行這個程序。同樣，在使用SQLPLUS時，也需要在XP兼容模式下運行。SQL 注入漏洞的診斷：診斷準備階段：使用sql plus 接口連接oracle server。在命令行下，以system 用戶身份登錄sql plus。創(chuàng)建新用戶caochenye，并授予

6、新用戶Create session，create procedure 和alter session 權(quán)限。-“create user caochenye identified by ccy；”作用是創(chuàng)建新用戶caochenye，密碼為ccy。-“grant create session，create procedure，alter session to caochenye；”語句是為新用戶caochenye 分配權(quán)限。這三個權(quán)限是本實驗caochenye 用戶必須獲得的最低權(quán)限。其中Create session 權(quán)限使得caochenye可以連接oracle server，create pro

7、cedure 權(quán)限用于創(chuàng)建PL/SQL 子程序，alter session權(quán)限用于后期追蹤oracle server 的trace 文件。另外，因為LTADM 程序包屬SYS 模式下，且非普通用戶可以執(zhí)行，所以還需要獲得該包的執(zhí)行權(quán)限。這需要在服務(wù)器端以SYS 模式登錄后，授予execute on LTADM 的權(quán)限給caochenye。-“conn sys/吃cycpy as sysdba”這是超級管理員SYS 的連接命令，吃cycpy 為SYS 的登錄密碼。注意sys 必須在oracle server 端的system 模式下才能登陸成功。-“grant execute on SYS.LT

8、ADM to caochenye; ”是將SYS.LTADM 包的執(zhí)行權(quán)限授予caochenye 用戶。注入漏洞的診斷：a以普通用戶caochenye登錄，執(zhí)行“SYS.LTADM.COMPRESSSTATE('AAAA',2);”。由找到的參數(shù)信息知，其第一個參數(shù)是VARCHAR2 字符型，所以我隨意填充了易于標識的參數(shù)AAAA，第二個參數(shù)NUMBER 型，所以填充數(shù)字2。-“alter session set sql_trace=TRUE / FALSE;”這是用于開啟/ 關(guān)閉session trace 的，如果不開啟則追蹤不到存儲過程的語句執(zhí)行。-“exec SYS.LT

9、ADM.COMPRESSSTATE(AAAA, 2);”是執(zhí)行存儲過程的命令。b在服務(wù)器端oracle 下D:oracleadminorcludump 文件夾找到最新生成的trace文件，查看是否又出現(xiàn)參數(shù)AAAA的語句?？梢钥吹轿覀兲畛涞膮?shù)出現(xiàn)兩次，第一次是我們的執(zhí)行語句，第二次是該存儲過程內(nèi)部的拼接SQL語句。由于觀察到用戶參數(shù)以字符串拼接的方式直接出現(xiàn)在SQL語句中，說明SYS.LTADM.COMPRESSSTATE 存在SQL注入漏洞。SQL 注入漏洞的利用：a 首先以普通用戶caochenye 登錄，并在caochenye 用戶下創(chuàng)建一個惡意的權(quán)限提升函數(shù)f1，主要功能是grant dba to caochenye。在函數(shù)執(zhí)行之前，通過對user_role_privs 視圖的select 查詢，檢查此時caochenye 擁有的所有角色，得到空集。b 開啟trace，根據(jù)上述出現(xiàn)的拼接語句，構(gòu)造合邏輯的SQL 執(zhí)行：再次查詢user_role_privs 視圖，檢查caochenye 所擁有的角色，發(fā)現(xiàn)caochenye 已經(jīng)由普通用戶提升為dba用戶，說明攻擊成功。c同時在udump 文件夾下，找到剛剛生成的trace 文件，查看攻擊