深入讲解数据库系统安全中的“漏洞发掘”

新客网 XKER.COM 2008-02-02 来源：赛迪网 10633 收藏本文

从图中可以看出栈结构是从高地址增长到低地址，而进行函数调用时系统所作的“序幕”工作就是将函数的返回地址和EBP压栈，再将ESP赋给EBP使其成为局部基指针，最后ESP减去一定的值为局部变量留出空间。这样当程序将过长的字符串拷贝到缓冲区时就会依次覆盖EBP和返回地址。当用AAAA覆盖返回地址，函数退栈时系统就将0x41414141（A的16进制ASCII码）赋给EIP去执行，由于是一个非法的内存地址，故程序崩溃。但假如用一个实际存在的地址覆盖返回地址，那么程序就转而去执行该地址处的指令，通常黑客会在这个地址植入所谓的shellcode，由shellcode产生一个shell，假如被攻击程序设置了suid位，那么产生的shell就是root shell，黑客也就获得了系统的最高控制权，这一过程就是基本的缓冲区溢出攻击。

覆盖函数的返回地址是比较常见的攻击方式，但缓冲区溢出攻击的手法是灵活多样的，往往在编程中的一个小小纰漏就可能导致被攻击，下面简单介绍一下几种较为高级的攻击方式。

（1）通过覆盖函数指针进行攻击：

/*    vulprog     */
int main(int argc , char * argv[])
{
void (* fp)(char *) = (void (*)(char *))&puts;
char buff[256];
strcpy(buff,argc[1]);
fp(argc[2]);
exit(1);
}

上面这个程序在执行拷贝时没有检查边界，这样用户数据就有可能覆盖函数指针fp，假如用shllcode的地址去覆盖fp，那么函数指针调用时就会去执行shellcode。

这种覆盖函数指针的方式是一种较直接的覆盖方式（因为函数指针就在缓冲区上面），还有一种间接的覆盖方式，就是当函数指针不直接在缓冲区上面时，通过覆盖另外一个指针来覆盖函数指针，再将shellcode的地址填充函数指针。

（2）通过覆盖 .dtors区地址进行攻击：

/*    vulprog     */
int main(int argc ,char * argv[])
{
char * pbuf = malloc(strlen(argv[2]) 1);
char buff[256];
strcpy(buff,argv[1]);
strcpy(pbuf,argv[2]);
exit(1);
}

虽然这个程序没有函数指针，但在执行第二个拷贝时，可以将任意的数据拷贝到任意的地址中（这个地址由第一个拷贝指定），这时就可以选择用 .dtors区的地址覆盖指针pbuf，在执行第二个拷贝时将shellcode的地址拷贝至.dtors区，那么在函数退出时shellcode就会被执行。

其实针对这个程序，攻击者不仅可以覆盖.dtors区的地址，还可以覆盖GOT（全局偏移表）中exit的地址，或__deregister_frame_info的地址。

从上面的这些例子可以看出，假如编程中不注重缓冲区边界的检查，就很可能导致被溢出攻击。

由于缓冲区溢出攻击的频繁爆发，迫使很多操作系统厂商推出了不可执行堆栈、更新C库函数等措施。这些措施一定程度上遏制了普通的缓冲区溢出，但道高一尺，魔高一丈，黑客们很快就将注重力转移到新的溢出攻击上，如堆溢出。从最初的溢出重要变量（如函数指针、文件指针）到dlmalloc中malloc-free类型的堆溢出到ptmalloc中的堆溢出，层出不穷。其实不管这些手法有多高明，最终的根源只有一个：利用程序中未对缓冲区边界进行有效检查。

2.SQL注入>

数据库系统除了可能受到缓冲区溢出的攻击外，近几年又出现了SQL注入的攻击方式，这种攻击方式被称为 “ SYSDBA的恶梦”。SQL注入可能导致数据库系统中的普通用户窃取机密数据（如获得SYSDBA密码）、进行权限提升（如获得SYSDBA特权）等，而这种攻击方式又不需要太多计算机方面的知识，一般只要能熟练使用　　　SQL语言即可，因此对数据库的安全构成了很大的威胁。

SQL注入的攻击方式比较简单，一般是将一些特权语句注入到有漏洞的存储过程或触发器中导致这些语句被非法执行。例如在Oracle中由SYS创建如下存储过程并将执行权限授予普通用户：

CREATE OR REPLACE PROCEDURE PROC1 ( INPUT VARCHAR2) AS
... ...  
STMT:='SELECT TITLES FROM BOOKS WHERE AUTHOR =''' || INPUT || '''';
EXECUTE IMMEDIATE STMT;
... ...

正常情况下用户可以通过执行：EXEC SYS.PROC1（'DICKENS')来查询DICKENS的著作，但假如恶意用户这样执行该存储过程：

EXEC SYS.PROC1( 'DICKENS'' UNION SELECT PASSWORD FROM USERS_TABLE WHERE ''A'' = ''A')，那么他就非法地查出了所有用户的密码。

虽然这只是一个简单的例子，但它表明在编写系统存储过程、函数和触发器时一定要注重防止SQL注入的可能。

数据库是信息系统的基石，一旦被黑客入侵，后果将不堪设想。而反抗黑客入侵的最好办法就是克服软件编程中存在的各种漏洞，让黑客无机可乘。通过源码审计、漏洞跟踪等方式可以较好的修正现存系统中的各种安全隐患。目前我们正在达梦数据库中积极开展漏洞发掘的相关工作，努力使达梦数据库成为真正牢不可破的数据库，为国家的信息安全构筑坚强的基石。

上一篇：深入剖析多方面的参数设置对性能的影响下一篇：基于关系数据库引擎的“XML“索引技术

【收藏】【评论】【推荐】【投稿】【打印】【关闭】