1.觸發器權限和所有權
create TRIGGER權限默認授予定義觸發器的表所有者、sysadmin 固定服務器角色成員以及 db_owner 和 db_ddladmin 固定數據庫角色成員,並且不可轉讓。
2.需要的環境
本文需要的環境是已經獲取了sql服務器的以上其中一個權限,目的是為了留下隱蔽的後門,不被管理員發現。即使發現了也是加密的(可以破解,不過有些管理員不懂,也不會注意,相關信息google下)。
觸發器是在對表進行插入(insert)、更新(update)或刪除(delete)操作時,自動執行的存儲過程。最常見用於執行敏感數據操作時做歷史記錄。
本文以動網論壇dvbbs為例,我們已經拿到了db_owner權限(注意:並不是說dvbbs本身有漏洞)。因為只是db_owner權限,所以讀者想去執行“xp_cmdshell”,就不再本文范圍了,相信讀過本文後,只要有系統權限,作個系統的後門也是簡單的。先回想一下通常我們使用數據庫時要做什麼和關心什麼。
3.為什麼要使用觸發器作後門?
管理員首先會把sql文件執行下,然後導入mdb的內容,平時使用頂多備份下,還原下。通常不會有人去看觸發器的內容,查看觸發器可以使用命令“exec sp_helptrigger ’dv_admin’”,或者在企業管理器中選擇“管理觸發器”。因為動網根本沒有用到觸發器,也沒有提到觸發器,所以動網的管理員不會去看的。於是我們在裡面寫的內容就相對安全了。
4.思路
觸發器主要是用來做歷史記錄的,當然可以把管理員更改密碼和添加用戶的歷史記錄下。放進一個管理員通常不會注意的、普通用戶又可以看到的地方。
動網的密碼有md5加過密的,加密的操作是ASP程序在服務器上來完成的,等數據庫拿到數據的時候已經是加過密的了。但是動網同時把密碼以明文方式放入dv_log表中,就給了我們方便。只要拿到dv_log表中l_content字段的內容,然後判斷是否管理員在執行敏感操作,後門思路就形成了。
使用過程――代碼解析
代碼片斷:創建觸發器。
create trigger dv_admin_history
on Dv_log
with encryption
for insertas
as
觸發器需要建立在Dv_log表上,這裡放入的是明文密碼。我們並不知道管理員密碼設置有多長,只能是把裡面的有密碼的字段內容全部取出。觸發器最好是加密的,加密後,管理員即使看到了,也不知道這裡是什麼東西。在insert(加入)數據時執行觸發器。
取出來的值應該放入一個普通用戶能看到的地方,這樣只要有了普通用戶的權限就可以看到密碼。動網數據庫中,最大並且可以存放數據的字段管理員通常都會看到。所以必須找出來一個管理員不會看,而其他用戶也不會注意的地方。
我選擇放在一個新建用戶的用戶信息裡(以下通稱這個用戶為“汪財”,親切點),這樣我們登陸時就可以看到了(注意:登陸時有日志的,記錄最後登陸ip,大家自己解決)。
有以下幾個字段適於存放:
(1)Userphoto,字段類型:varchar(255)。記錄了汪財的照片地址。可以存放小於255的數據。
(2)Usersign,字段類型:varchar(255)。汪財的簽名,如果放這裡,汪財就不能發貼了,否則後果自負(發貼會顯示簽名,地球人都能看到)。
(3)Useremail,字段類型:nvarchar(255)。汪財的email,使用時需要轉換類型。
(4)Userinfo,字段類型:text。汪財的用戶資料。該字段很特殊,有很多“”,每一對“”之間都有著不同的含義。動網很懶的,為了避免字段太多,就把一堆信息全都放入一個字段裡,用“”分開,當查詢某一項信息時,取出來全部,然後分割下,就是需要的數據了。