淺談微軟系統(tǒng)網(wǎng)站漏洞捕捉利用

蔡銳彬

摘要：將微軟操作系統(tǒng)下的漏洞捕捉利用的方法為研究對(duì)象，側(cè)重分析和捕捉旁注入侵的利用方法，為WEB站點(diǎn)漏洞修補(bǔ)提供更多迅速、便利的偵測捕捉利用。

關(guān)鍵詞：結(jié)構(gòu)化查詢語句旁注；漏洞捕捉；木馬頁面

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）03-0037-02

改革開放不斷深入，互聯(lián)網(wǎng)的體量和增量速度不斷發(fā)展壯大，高速互聯(lián)網(wǎng)日益普及，網(wǎng)絡(luò)終端應(yīng)用不斷普及，計(jì)算機(jī)網(wǎng)絡(luò)安全問題越來越受到關(guān)注，信息安全在計(jì)算機(jī)網(wǎng)絡(luò)中扮演的角色越來越重要。

計(jì)算機(jī)網(wǎng)絡(luò)安全問題在基于微軟視窗平臺(tái)的應(yīng)用方面更加值得關(guān)注，某些方面不安全也確實(shí)令人擔(dān)憂，拒絕服務(wù)攻擊、基于數(shù)據(jù)庫平臺(tái)的代碼注入、操作系統(tǒng)漏洞捕捉利用、木馬插件、木馬郵件、垃圾信息等安全防范領(lǐng)域困擾層出不窮[1]。探討漏洞捕捉和利用方法，發(fā)現(xiàn)其共同特性，能夠幫助解決問題和克服困難，在指導(dǎo)計(jì)算機(jī)網(wǎng)絡(luò)安全方面的工作有所幫助。我們將談?wù)撚?jì)算機(jī)系統(tǒng)漏洞捕捉利用，結(jié)構(gòu)化查詢語句注入、木馬頁面利用、分布式拒絕服務(wù)等方面的入侵和攻擊方法，并企圖通過分析來探討計(jì)算機(jī)網(wǎng)絡(luò)形成的高速互聯(lián)網(wǎng)的安全問題。

1 結(jié)構(gòu)化語句旁注入侵

旁注入侵通過正常訪問3W端口來進(jìn)行偵測。表面上和正常訪問網(wǎng)站網(wǎng)頁沒什么不同的，主流的防火墻安全系統(tǒng)并不會(huì)對(duì)旁注入侵進(jìn)行警報(bào)，也無法進(jìn)行鑒別，在網(wǎng)站系統(tǒng)管理者未查web服務(wù)器日志的情況下造成被入侵很久都未必會(huì)他們發(fā)現(xiàn)[2]。

雖然這樣，注入是一種靈活有效的方法，但在操作時(shí)往往會(huì)遇到這樣那樣的特殊情形。應(yīng)該依據(jù)具體不同情況具體分析，能否構(gòu)建一句精巧的旁注偵測結(jié)構(gòu)化查詢語句，獲得提取到預(yù)期的信息和數(shù)據(jù)，則要依靠入侵操作者的平時(shí)知識(shí)積累水平和運(yùn)氣情況。

1.1 注入的原理

請(qǐng)看一個(gè)實(shí)例：在網(wǎng)站上，如果有一個(gè)鏈接，地址如下：http：//www.aaa.com/../showInf.asp？idd=2，注入者可以在地址后加一個(gè)單引號(hào)'，網(wǎng)站W(wǎng)EB服務(wù)器計(jì)算機(jī)將會(huì)應(yīng)要求反饋如下的錯(cuò)誤提示：

[Microsoft JET Database Engine 錯(cuò)誤 '80040e14'

字符串的語法錯(cuò)誤 在查詢表達(dá)式 'IDD=2'' 中。

/showInf.asp，行4]在上面這一錯(cuò)誤提示信息，可以發(fā)現(xiàn)下面幾點(diǎn)有意義的信息：

1） 網(wǎng)絡(luò)Server上安裝微軟的MS-Access數(shù)據(jù)庫并設(shè)置JET-OLE鏈接。

2） 編程人員在代碼中未判斷用戶端提交的數(shù)據(jù)對(duì)于程序的合規(guī)性。

3） 網(wǎng)站的結(jié)構(gòu)化查詢語句所查詢的表中存在名為“IDD”的字段。

通過上面例子可知，旁注偵測的基本原理是通過分析客戶端提交的代碼行，然后分析服務(wù)器的反饋信息，獲取旁注偵測信息及資料。

1.2 分析注入可行性

要分析是否存在漏洞，使用如下測試方法是較為準(zhǔn)確的：

1） http：//www.kkk.com/showdet.asp？idd=2

2） http：//www.kkk.com/showdet.asp？idd=2 and 1=1

3） http：//www.kkk.com/showdet.asp？idd=2 and 1=2

此法是常用的測試法。觀察以上的網(wǎng)址返回的結(jié)果，通常可以知道是否可以注入。

可注入時(shí)，反饋內(nèi)容表現(xiàn)如下：

1） 網(wǎng)頁能夠正常顯示；

2） 網(wǎng)頁基本能正常顯示，但格式異常，內(nèi)容與1）大致相同；

3） 出現(xiàn)BOF或EOF提示、或提示未找到記錄（已判斷但記錄溢出時(shí)）、或顯示網(wǎng)頁內(nèi)容為空（代碼程序中做了on error resume next）。

若是不存在入侵條件則通過反饋異常來反映，觀察網(wǎng)頁程序定義的出錯(cuò)提示類型甚至跳轉(zhuǎn)到的指定頁面信息。

以上是傳入數(shù)字型參數(shù)的判斷方法，實(shí)際應(yīng)用的時(shí)候會(huì)有字符型和搜索型參數(shù)，后面會(huì)在“結(jié)構(gòu)化查詢注入一般步驟”做討論。

1.3 數(shù)據(jù)庫判斷和注入方法

不一樣的數(shù)據(jù)庫的函數(shù)采用的偵測注入法是有不同的，在注入偵測之前，應(yīng)判斷數(shù)據(jù)庫類型。一般ASP動(dòng)態(tài)網(wǎng)頁程序代碼經(jīng)常采用的數(shù)據(jù)庫為微軟的數(shù)據(jù)庫，大部分網(wǎng)站用這兩種數(shù)據(jù)庫。

獲取數(shù)據(jù)庫類型方法如下：

通過MS-SQL數(shù)據(jù)庫系統(tǒng)特有內(nèi)置變量，WEB SERVER提示停且MS-SQL返回錯(cuò)誤提示則可直接從出錯(cuò)信息中獲知。采用如下方法：

http：//www.kkk.com/showdet.asp？idd=2 and user>0

MSSQL注入方法是一種效率高的偵測方法。語句通過在正常語句后面加上and user>0產(chǎn)生特殊用意。使用MSSQL的內(nèi)置變量nvarchar的取值與int比較，系統(tǒng)將轉(zhuǎn)型變量并導(dǎo)致顯示出錯(cuò)信息。出錯(cuò)提示類似是：將xxxx值 ”xxx” 轉(zhuǎn)換數(shù)據(jù)類型為 aaa 的列時(shí)發(fā)生語法錯(cuò)誤，實(shí)際上，xxx暴露了用戶名的值，這樣，相當(dāng)于顯示了數(shù)據(jù)庫的用戶名。

MS-SQL的超級(jí)用戶等同于管理員權(quán)限的角色，得到了sa權(quán)限，就可以拿到主機(jī)的管理權(quán)了。以上方法可很方便的測試出是否是用sa登錄，是sa登錄的話則提示的是：將“dbo”轉(zhuǎn)換成int的列發(fā)生錯(cuò)誤，而不是直接顯示超級(jí)管理員用戶名“sa”。

如果互聯(lián)網(wǎng)信息服務(wù)器禁止返回錯(cuò)誤提示，則可采用從Access和MSSQL間的區(qū)別入手。它們都有自己的系統(tǒng)表，MS-Access是在系統(tǒng)表[msysobjects]在網(wǎng)絡(luò)環(huán)境下讀該表會(huì)提示“沒有權(quán)限”，MS-SQL是在表[sysobjects]中，在網(wǎng)絡(luò)環(huán)境下能正常獲得[3]。

可以注入時(shí)用下面語句：

注入點(diǎn)鏈接后面加上“？idd=2 and （select count（*） from sysobjects）>0”

注入點(diǎn)鏈接后面加上“？idd=2 and （select count（*） from msysobjects）>0”

若數(shù)據(jù)庫是MSSQL，則前一網(wǎng)址的頁面與原頁面大致相同；而后一網(wǎng)址則找不到表msysobjects，將提示有錯(cuò)，有容錯(cuò)處理的頁面也將會(huì)不同。

只指定旁注入侵的判斷方法要拿到網(wǎng)站的保密內(nèi)容還是不夠的。要從數(shù)據(jù)庫中獲取想要的內(nèi)容，先要看看SQL注入的一般步驟：

先要判斷環(huán)境尋找注入漏洞偵測點(diǎn)，判斷數(shù)據(jù)庫類型，接著再根據(jù)參數(shù)類型，重構(gòu)結(jié)構(gòu)化查詢語句。按參數(shù)類型分如下幾種：

（A） IDD=2 這類注入的參數(shù)是數(shù)字型

（B） Class=電影 這種參數(shù)是字符型

（C）沒過濾參數(shù)的

將查詢條件替換成結(jié)構(gòu)化查詢語句猜解表名，如：

IDD=2 And （Select Count（*） from Adm）>=0

若兩者反饋頁面信息是相同的那說明附加條件是成立的，那判斷出數(shù)據(jù)庫的表Adm是存在的，若不同則肯定不存在Adm表。通過字典不斷猜測，直到表名存在為止。表名猜解出后，可以將Count（*）替換成Count（字段名），用同樣的方法通過字典不斷猜解字段名。

2 注入型系統(tǒng)漏洞捕捉利用設(shè)計(jì)

2.1 系統(tǒng)漏洞捕捉系統(tǒng)設(shè)計(jì)

自主設(shè)計(jì)一個(gè)注入攻擊工具系統(tǒng)，主要包括以下子系統(tǒng)：旁注偵測、木馬頁面上傳、結(jié)構(gòu)化查詢語句旁注、數(shù)據(jù)庫管理。功能是注入點(diǎn)智能化的發(fā)現(xiàn)系統(tǒng)漏洞，包含注入利用，ASP木馬文件上傳等入侵方法的系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)原理、方法。

2.2 系統(tǒng)設(shè)計(jì)

工具系統(tǒng)是根據(jù)微軟操作系統(tǒng)平臺(tái)的特點(diǎn)來設(shè)計(jì)的，專門針對(duì)廣泛流行的WEB服務(wù)器和ASP語言在數(shù)據(jù)庫查詢中常有的系統(tǒng)漏洞，采取相應(yīng)操作，實(shí)現(xiàn)對(duì)微軟系統(tǒng)的漏洞捕捉注入入侵。系統(tǒng)有如下設(shè)計(jì)流程：

1） 采用國外http：//whois.webhosting.info/網(wǎng)站提供的免費(fèi)服務(wù)，通過域名查得IP，也可以通過IP查域名。存在于同一服務(wù)器的虛擬網(wǎng)站可能受到相鄰網(wǎng)站漏洞波及而遭受入侵。

2） 旁注入侵注入點(diǎn)智能發(fā)現(xiàn)。將MSHTML的get_links 獲取 IHTMLElementCollection 接口，再通過它的 IHTMLAnchorElement接口的get_href就可以得到網(wǎng)頁的所有鏈接了。得到這些鏈接后，觀察其中是否包含類似“.asp？id=”的語句，有則進(jìn)行注入檢測，最終智能獲得可以注入的網(wǎng)站鏈接。

3） 對(duì)注入點(diǎn)數(shù)據(jù)庫實(shí)施猜解，判斷目標(biāo)網(wǎng)站數(shù)據(jù)庫類型。然后根據(jù)不同類型采取不同的方法猜解，獲取表和其中的字段和記錄。

4） 嘗試猜解網(wǎng)站后臺(tái)管理員入口。多數(shù)網(wǎng)站的管理員登錄入口都是admin.asp，login.asp，manage.asp等等。

5） 嘗試猜解數(shù)據(jù)庫，可以獲取管理員賬號(hào)，結(jié)合管理員入口就可以進(jìn)入網(wǎng)站的后臺(tái)。

6） 上傳木馬頁面WEBSHELL，利用數(shù)據(jù)庫備份功能，可以用它來把我們所上傳的經(jīng)過改裝成形如XXX.GIF的WEBSHELL恢復(fù)原型成XXX.ASP，讓網(wǎng)頁木馬真正起作用。

2.3 工具軟件實(shí)現(xiàn)

SQL注入模塊界面如圖SQL注入界面所示。包含批量掃描注入點(diǎn)、SQL注入猜解檢測、輔助工具，管理入口掃描四個(gè)子模塊。在SQL注入猜解模塊中包含了旁注入侵的精華思想。

3 系統(tǒng)漏洞智能發(fā)現(xiàn)實(shí)現(xiàn)與驗(yàn)證

東莞搜房網(wǎng)www.dgsoufun.com和搜房網(wǎng)www.soufun.com是放在同一個(gè)虛擬服務(wù)器中的，也是子母公司的網(wǎng)站。搜房網(wǎng)的訪問流量很大，約為5000IP/天，論壇每天的新帖子達(dá)到1500篇以上，各方面比較完善。但是，在www.jxuf.com這個(gè)網(wǎng)站中，系統(tǒng)工具智能掃描到存在了注入點(diǎn)，東莞搜房網(wǎng)注入檢測：http：//www.jxuf.com/../market_view.asp？id=14。得到金信聯(lián)行的網(wǎng)站控制權(quán)，再通過這個(gè)網(wǎng)站來控制東莞搜房網(wǎng)www.dgsoufun.com的系統(tǒng)管理權(quán)。

4 小結(jié)

本文通過分析微軟系統(tǒng)常用注入漏洞捕捉，設(shè)計(jì)一個(gè)智能檢測攻擊工具。淺談微軟系統(tǒng)漏洞入侵檢測的完整過程。從主機(jī)掃描開始，把域名解釋到IP，再通過IP查詢，發(fā)現(xiàn)主機(jī)上面存在的所有虛擬主機(jī)，即查詢出該IP上綁定了若干域名。增加掃描的漏洞的全面性，增加漏洞捕捉的可能性。針對(duì)不同主機(jī)，逐一掃描，發(fā)現(xiàn)各自存在漏洞可能。系統(tǒng)實(shí)現(xiàn)SQL注入漏洞發(fā)現(xiàn)智能化，避免人工干預(yù)，系統(tǒng)能將可入侵、可利用的漏洞鏈接顯示出來。

參考文獻(xiàn)：

[1] Shan Rongsheng， Li Jianhua， Wang Mingzheng. Anomaly detection for network traffic flow[J]. Journal of Southeast University（English Edition）， 2004， 20（1）：16-20.

[2] 薛麗軍.分布式拒絕服務(wù)攻擊檢測與防護(hù)[D]. 電子科技大學(xué)， 2003（05）.