2017-2018-2 20179205《網絡攻防技術與實踐》第十一周作業 SQL註入攻擊與實踐
《網絡攻防技術與實踐》第十一周作業 SQL註入攻擊與實踐
1.研究緩沖區溢出的原理,至少針對兩種數據庫進行差異化研究
緩沖區溢出原理
??在計算機內部,輸入數據通常被存放在一個臨時空間內,這個臨時存放的空間就被稱為緩沖區,緩沖區的長度事先已經被程序或者操作系統定義好了。向緩沖區內填充數據,如果數據的長度很長,超過了緩沖區本身的容量,那麽數據就會溢出存儲空間,而這些溢出的數據還會覆蓋在合法的數據上,這就是緩沖區和緩沖區溢出的道理。
??通常,在棧中分配某個字節數組來保存一個字符串,但是字符串的長度超出了為數組分配的空間。C對於數組引用不進行任何邊界檢查,而且局部變量和狀態信息,都存在棧中。這樣,對越界的數組元素的寫操作會破壞存儲在棧中的狀態信息。當程序使用這個被破壞的狀態,試圖重新加載寄存器或執行ret指令時,就會出現很嚴重的錯誤。
void echo()
{
char buf[8] ;
gets(buf) ;
puts(buf) ;
}
由於棧是向地地址增長的,數組緩沖區是向高地址增長的。故,長一些的字符串會導致gets覆蓋棧上存儲的某些信息。
隨著字符串變長,下面的信息會被破壞:
輸入的字符數量 被破壞的狀態
0---7 無
8---11 保存的%ebx的值
12---15 保存的%ebp的值
16---19 返回地址
20+ caller中保存的狀態
如果破壞了存儲%ebp的值,那麽基址寄存器就不能正確地恢復,因此調用者就不能正確地引用它的局部變量或參數。
如果破壞了存儲的返回地址,那麽ret指令會使程序跳轉到完全意想不到的地方。
緩沖區溢出的一個更加致命的使用就是讓程序執行它本來不願意執行的函數。這是一種最常見的通過計算機網絡攻擊系統安全的方法。通常,輸入給程序一個字符串,這個字符串包含一些可執行代碼的字節編碼,稱為攻擊代碼,另外還有一些字節會用一個指向攻擊代碼的指針覆蓋返回地址。那麽,執行ret指令的效果就是跳轉到攻擊代碼。
通常,使用gets或其他任何能導致存儲溢出的函數,都不是好的編程習慣。不幸的是,很多常用庫函數,包括strcpy、strcat、sprintf,都有一個屬性——不需要告訴它們目標緩沖區的大小,就產生一個字節序列。
對抗緩沖區溢出攻擊
1、棧隨機化
??為了在系統中插入攻擊代碼,攻擊者不但要插入代碼,還要插入指向這段代碼的指針,這個指針也是攻擊字符串的一部分。產生這個指針需要知道這個字符串放置的棧地址。在過去,程序的棧地址非常容易預測,在不同的機器之間,棧的位置是相當固定的。
棧隨機化的思想使得棧的位置在程序每次運行時都有變化。因此,即使許多機器都運行相同的代碼。它們的棧地址都是不同的。
實現的方式是:程序開始時,在棧上分配一段0--n字節之間的隨機大小空間。程序不使用這段空間,但是它會導致程序每次執行時後續的棧位置發生了變化。
在Linux系統中,棧隨機化已經變成了標準行為。(在linux上每次運行相同的程序,其同一局部變量的地址都不相同)
2、棧破壞檢測
??在C語言中,沒有可靠的方法來防止對數組的越界寫,但是,我們能夠在發生了越界寫的時候,在沒有造成任何有害結果之前,嘗試檢測到它。
最近的GCC版本在產生的代碼中加入了一種棧保護者機制,用來檢測緩沖區越界,其思想是在棧中任何局部緩沖區與棧狀態之間存儲一個特殊的金絲雀值。這個金絲雀值是在程序每次運行時隨機產生的,因此,攻擊者沒有簡單的辦法知道它是什麽。
在恢復寄存器狀態和從函數返回之前,程序檢查這個金絲雀值是否被該函數的某個操作或者函數調用的某個操作改變了。如果是,那麽程序異常終止。
3、限制可執行代碼區域
??限制那些能夠存放可執行代碼的存儲器區域。在典型的程序中,只有保存編譯器產生的代碼的那部分存儲器才需要是可執行的,其他部分可以被限制為只允許讀和寫。
現在的64位處理器的內存保護引入了”NX”(不執行)位。有了這個特性,棧可以被標記為可讀和可寫,但是不可執行,檢查頁是否可執行由硬件來完成,效率上沒有損失。
2.針對不同數據類型,研究SQL註入點的發現與註入技術
SQL註入產生原因及威脅:
剛剛講過當我們訪問動態網頁時, Web 服務器會向數據訪問層發起 Sql 查詢請求,如果權限驗證通過就會執行 Sql 語句。
這種網站內部直接發送的Sql請求一般不會有危險,但實際情況是很多時候需要結合用戶的輸入數據動態構造 Sql 語句,如果用戶輸入的數據被構造成惡意 Sql 代碼,Web 應用又未對動態構造的 Sql 語句使用的參數進行審查,則會帶來意想不到的危險。
Sql 註入帶來的威脅主要有如下幾點:
- 猜解後臺數據庫,這是利用最多的方式,盜取網站的敏感信息。
- 繞過認證,列如繞過驗證登錄網站後臺。
- 註入可以借助數據庫的存儲過程進行提權等操作
2.1 判斷SQL註入點
通常情況下,可能存在 Sql 註入漏洞的 Url 是類似這種形式 :http://xxx.xxx.xxx/abcd.php?id=XX
對 Sql 註入的判斷,主要有兩個方面:
- 判斷該帶參數的 Url 是否存在 Sql 註入?
- 如果存在 Sql 註入,那麽屬於哪種 Sql 註入?
??可能存在 Sql 註入攻擊的 ASP/PHP/JSP 動態網頁中,一個動態網頁中可能只有一個參數,有時可能有多個參數。有時是整型參數,有時是字符串型參數,不能一概而論。總之只要是帶有參數的 動態網頁且此網頁訪問了數據庫,那麽就有可能存在 Sql 註入。如果程序員沒有足夠的安全意識,沒有進行必要的字符過濾,存在SQL註入的可能性就非常大。
2.2 判斷是否存在SQL註入漏洞
最為經典的單引號判斷法:
在參數後面加上單引號,比如:
http://xxx/abc.php?id=1‘如果頁面返回錯誤,則存在 Sql 註入。
原因是無論字符型還是整型都會因為單引號個數不匹配而報錯。
註:如果未報錯,不代表不存在 Sql 註入,因為有可能頁面對單引號做了過濾,這時可以使用判斷語句進行註入
2.3 判斷SQL註入漏洞的類型
通常 Sql 註入漏洞分為 2 種類型:
- 數字型
- 字符型
- 搜索型
??其實所有的類型都是根據數據庫本身表的類型所產生的,在我們創建表的時候會發現其後總有個數據類型的限制,而不同的數據庫又有不同的數據類型,但是無論怎麽分常用的查詢數據類型總是以數字與字符來區分的,所以就會產生註入點為何種類型。
2.3.1數字型判斷:
當輸入的參 x 為整型時,通常 abc.php 中 Sql 語句類型大致如下:
select * from <表名> where id = x這種類型可以使用經典的 and 1=1 和 and 1=2 來判斷:
Url 地址中輸入 http://xxx/abc.php?id= x and 1=1頁面依舊運行正常,繼續進行下一步。
Url 地址中繼續輸入http://xxx/abc.php?id= x and 1=2 頁面運行錯誤,則說明此 Sql 註入為數字型註入。
原因如下:
當輸入 and 1=1時,後臺執行 Sql 語句:
select * from <表名> where id = x and 1=1沒有語法錯誤且邏輯判斷為正確,所以返回正常。
當輸入and 1=2時,後臺執行 Sql 語句:
select * from <表名> where id = x and 1=2沒有語法錯誤但是邏輯判斷為假,所以返回錯誤。
我們再使用假設法:如果這是字符型註入的話,我們輸入以上語句之後應該出現如下情況:
select * from <表名> where id = ‘x and 1=1‘
select * from <表名> where id = ‘x and 1=2‘查詢語句將 and 語句全部轉換為了字符串,並沒有進行 and 的邏輯判斷,所以不會出現以上結果,故假設是不成立的。
2.3.2字符型判斷:
當輸入的參 x 為字符型時,通常 abc.php 中 SQL 語句類型大致如下:
select * from <表名> where id = ‘x‘這種類型我們同樣可以使用and ‘1‘=‘1 和 and ‘1‘=‘2 來判斷:
Url 地址中輸入http://xxx/abc.php?id= x‘ and ‘1‘=‘1 頁面運行正常,繼續進行下一步。
Url 地址中繼續輸入http://xxx/abc.php?id= x‘ and ‘1‘=‘2頁面運行錯誤,則說明此 Sql 註入為字符型註入。
原因如下:
當輸入 and ‘1‘=‘1時,後臺執行 Sql 語句:
select * from <表名> where id = ‘x‘ and ‘1‘=‘1‘語法正確,邏輯判斷正確,所以返回正確。
當輸入 and ‘1‘=‘2時,後臺執行 Sql 語句:
select * from <表名> where id = ‘x‘ and ‘1‘=‘2‘語法正確,但邏輯判斷錯誤,所以返回正確。
2.3.3搜索型註入點:
?emsp;這是一種特殊的註入類型。這類註入主要是指在進行數據搜索時沒過濾搜索參數,一般在鏈接地址中有“keyword=關鍵字”,有的不顯示的鏈接地址,而是直接通過搜索框表單提交。
此類註入點提交的 SQL 語句,其原形大致為:
select * from 表名 where 字段 like ‘%關鍵字%‘當我們提交註入參數為“keyword=‘and[查詢條件] and ‘%‘=‘,則向數據庫提交的完事SQL語句為:
select * from 表名 where 字段 like ‘%‘ and [查詢條件] and ‘%‘=‘%‘總結:
通過查找資料我對SQL註入有了一個大概得了解,也清楚了SQL註入的強大。sql註入常用技術有段還包括:
- 采用非主流通道技術
- 避開輸入過濾技術
- 使用特殊的字符
- 強制產生錯誤
- 使用條件語句
- 利用存儲過程
- 推斷技術
- ........
3.研究緩沖區溢出的防範方法,至少針對兩種編程語言進行差異化研究
檢測方法及防範措施;
根據緩沖區溢出攻擊的步驟, 可將常用的緩沖區溢出攻擊檢測技術分為以下 3 種類型:
- 基於輸入字符串的檢測方法
- 基於保護堆棧中的返回地址的檢測方法
- 基於監視系統調用的檢測方法。
3.1 基於輸入字符串的檢測方法
對輸入的字符串進行檢測,確定其為溢出攻擊字符串時采取阻攔措施,使攻擊者無法註入攻擊代碼。一般有以下3種方法構建溢出攻擊字符串。如下圖所示:
緩沖區大於 ShellCode 長度:
緩沖區小於 ShellCode 長度:
將 ShellCode 放在環境變量裏:
??第 1 種溢出攻擊字符串適用於緩沖區大於 ShellCode 長度的情況; 第 2 種溢出攻擊字符串一般用於緩沖區小於 ShellCode 長度的情況; 第 3 種方法是將 ShellCode 放在環境變量裏,是目前較為常用的方法。
??在第 1 種和第 2 種類型的溢出攻擊字符串中 ShellCode 前都加了若幹的 NOP指令, 因為這 2 種情況下 ShellCode 的地址無法確定, 但只要返回地址指向 ShellCode 前的任一條NOP 指令, ShellCode 就可以執行,大大增加了 ShellCode 執行的可能性。這些 NOP指令稱為 sledge 。其他單字節指令如 AAA 等也可構成 sledge 。因此緩沖區溢出攻擊檢測系統可以通過檢查輸入的字符串中是否含有大量 NOP等可構成 sledge 的指令來判斷此字符串是否是溢出攻擊字符串。不過這種方法並不適用於檢測第 3 種類型的攻擊。但這 3 種類型的攻
擊字符串中都含有 ShellCode 。因此,確定出 ShellCode 的基本特征 , 如不含有“ 0x00”,含有某些特殊的系統調用等, 然後利用人工智能、 模式匹配、 規則匹配等方法檢查輸入字符串中是否包含 ShellCode 也可檢測出是否有緩沖區溢出攻擊發生。這些檢測都可以在入侵檢測等外圍防禦系統中實現, 優點是實現較為簡單, 不會增加被保護系統的開銷; 缺點是漏報率較高,無法檢測出無明顯特征的溢出攻擊字符串。
3.2 基於保護堆棧中返回地址的檢測方法
??緩沖區溢出攻擊最關鍵的步驟是要通過修改函數返回地址來改變程序的流程, 因此, 在函數調用返回前, 通過檢查返回地址是否被修改可以判斷是否有緩沖區溢出攻擊發生。 該檢測的實現可以通過在源碼中插入一些約束和判斷的模塊, 然後在編譯後的程序運行期間對有關變量和堆棧區域進行監控,檢測是否有攻擊發生。 StackGuard 和StackShield 就是這一類型的工具,它們都是 gcc 編譯器的擴展工具,用於監控調用的函數返回地址是否正常。StackGuard 主要是在內存中的返回地址及緩沖區之間插入一個 “Canary ” 字, 如圖所示。
??在函數調用返回前通過檢查 “Canary” 字來判斷返回地址是否已經被修改, 如果這個 Canary的值被改變了, 說明可能有人正進行緩沖區溢出攻擊, 程序會立刻響應, 發送一則入侵警告消息, 然後停止工作。為防止攻擊者構造 Canary”字, StackGuard 選用“終止符”和 “隨機數”作為“ Canary”字的值。但由於“ Canary ”字所在的位置是固定的,因此也可能被繞過StackShield 對此作了改進, 創建了一個新的堆棧用於備份被保護函數的返回地址。 它在被保護函數開始處增加一段代碼, 用來將函數返回地址拷貝到一張特殊的表中; 同樣在被保護函數的結尾處也增加一段代碼, 用來將函數返回地址從表中拷貝回堆棧。 從而保證函數正確返回。
3.3 基於監視系統調用的檢測方法
??如果攻擊者成功註入攻擊代碼,並改變了程序的執行流程使指令的執行指針指向了ShellCode 的入口地址。 按照一次緩沖區攻擊的 3 個步驟, 還須執行 ShellCode 來完成攻擊目的。因此,通過檢測是否有 ShellCode 運行可以檢測是否發生緩沖區溢出攻擊。攻擊者既希望 ShellCode 利用獲得的權限啟動一個交互式的 shell 進程來完成盡量多的事情,又希望 ShellCode 盡量短小從而更加隱蔽,所以絕大多數 ShellCode 都會調用系統函數。 由於監視所有系統調用會耗費大量系統資源, 因此只對 ShellCode 常用的系統調用進行監視, 根據某些特征判斷受監視的系統調用是否為非法調用就可確定被保護系統是否遭到緩沖區溢出攻擊。例如,如果發現系統調用的返回地址為堆棧,則可認為其為非法調用,因為很少有程序在堆棧上運行代碼。
緩沖區漏洞的防範措施
??上面三種方法是針對如何檢測已經發生的緩沖區漏洞, 方法雖然多, 但是相對比較麻煩, 所以我們最好能從根本上防範它,防止緩沖區漏洞的發生。首先在編寫程序過程中, 程序員有責任和義務養成安全編程的思想, 應該熟悉那些可能會產生漏洞或需慎用的函數,清楚那些在編程中要小心使用的函數 ( 特別是在使用 C語言時 ) ,例如: gets() 、 strcpy() 等等。在軟件測試階段,要專門對程序中的每個緩沖區作邊界檢查和溢出檢測。但是,由於程序編寫者的經驗不足和測試工作不夠全面、充分,目前還不可能完全避免緩沖區溢出漏洞,因此這些漏洞在已經使用以及正在開發的軟件中還是有存在的可能,還需要在使用軟件時,對它做實時的監測。
??其次是使用安全語言編寫程序, 應使用 Java等安全的語言編寫程序, 因為 Java在對緩沖區進行操作時,有相應的邊界檢查,所以可以有效地防止緩沖區溢出漏洞的產生。但是, Java也並非絕對安全, Java的解釋器是用 C語言編寫的,而 C並不是一種安全的語言,所以 Java解釋器還是可能存在緩沖區溢出漏洞並受到攻擊。最後可以通過改進編譯器,它的主要思想是在編譯器中增加邊界檢查以及保護堆棧的功能,使得含有漏洞的程序和代碼段無法通過編譯。 針對 gcc編譯器的很多補丁就提供了這些功能,比如說 Stackguard 等等。
4.數據庫註入攻擊工具
BSQL Hacker
??BSQL Hacker是由Portcullis實驗室開發的,BSQL Hacker 是一個SQL自動註入工具(支持SQL盲註),其設計的目的是希望能對任何的數據庫進行SQL溢出註入。 BSQL Hacker的適用群體是那些對註入有經驗的使用者和那些想進行自動SQL註入的人群。BSQL Hacker可自動對Oracle和MySQL數據庫進行攻擊,並自動提取數據庫的數據和架構。
Sqlmap
Sqlmap是一個自動SQL 註入工具。其可勝任執行一個廣泛的數據庫管理系統後端指紋,
檢索DBMS數據庫、usernames、表格、列、並列舉整個DBMS信息。Sqlmap提供轉儲數據庫表以及MySQL、PostgreSQL、SQL Server服務器下載或上傳任何文件並執行任意代碼的能力。
sqlsus
sqlsus是一個開放源代碼的MySQL註入和接管工具,sqlsus使用perl編寫並基於命令行界面。sqlsus可以獲取數據庫結構,註入你自己的SQL語句,從服務器下載文件,爬行web站點可寫目錄,上傳和控制後門,克隆數據庫等。
2017-2018-2 20179205《網絡攻防技術與實踐》第十一周作業 SQL註入攻擊與實踐