SQL Server应用程序的高级Sql注入（5）

[更深入的访问]

一旦攻击者可以控制数据库，他们可能想通过这些权限来获得对网络更多的控制，可以通过很多方法来达到这一目的：

1.利用xp_cmdshell扩展存储以SQL-Server用户的身份在数据库服务器上执行命令
2.利用xp_regread扩展存储读取注册表的键值，也包括SAM(只要SQL-Server是以一个本地帐号运行的)
3.用其他的扩展存储改变服务器设置
4.在联合服务器上执行查询
5.创建客户扩展存储从而在SQL-Server进程内运行exploit
6.用'bulk insert'语句去读服务器上任何文件
7.用bcp在服务器上创建任何文本文件
8.用sp_OACreate，sp_OAMethod和sp_OAGetProperty系统存储过程来创建ActiveX对象来完成asp脚本可以做的任何事情

这些只是常见的攻击方法的一部分；攻击者也很可能通过其他方法来达到目的，我们列举这些SQL-Server相关的攻击方法是为了说明如果程序可以被注入SQL语句时可能会发生什么，我们将依次给出以上各种情况的对策。

[xp_cmdshell]

扩展存储的本质是编译了的动态链接库(DLLs)，它用SQL-Server指定的调用方式去运行接口函数。他们允许SQL-Server程序拥有了和c/c++一样的功能，是个非常有用的特性。SQL-Server内置了大量的扩展存储，而且有各种各样的函数比如发送邮件和更改注册表。
xp_cmdshell是一个内置的扩展存储，它允许执行任意的命令行程序。例如：

exec master..xp_cmdshell 'dir'

将会获得一个SQL-Server进程所在工作目录的列表

exec master..xp_cmdshell 'net1 user'

将提供主机用户的列表。如果SQL Server正常的以本地'system'帐号或者'domain user'帐号运行，攻击者可以造成更严重破坏。

[xp_regread]

另外一个有用的内置的扩展存储是xp_regXXX函数

xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite

其中一些函数的用法的举例：

exec xp_regread HKEY_LOCAL_MACHINE
'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters',
'nullsessionshares'

(它决定服务器的空连接式共享是否可用)

exec xp_regenumvalues HKEY_LOCAL_MACHINE
'SYSTEM\CurrentControlSet\Services\snmp\parameters\validcommunities'

(它显示所有的服务器上SNMP公共的设置，通过这个信息，攻击者可以在相同的网络区域里重新配置网络设置，因为SNMP共有设置很少被改变而且由很多主机共享)

可以想象攻击者怎样利用这些函数来读取SAM文件，改变系统设置在重新启动后就被服务的应用，或者在用户下一次登陆时运行任意命令。