◆ Mysql低版本存在的远程访问漏洞
◆ Mysql远程访问漏洞 一. 概述 MySQL是一个常用的小型数据库系统,国内有很多站点正在使用它作为web数据库。 在MySQL的口令验证机制里存在安全漏洞。它允许任何用户从有目标机器数据库访问权限 的机器上与该数据库进行连接。攻击者不必知道帐号的口令,而只需知道一个可用的帐号 名即可。 所有低于Mysql 3.22.32的版本可能都是有问题的。 二. 细节 MySQL的口令认证的机制是这样的:当一个客户端发送一个连接请求的时候,服务端会首 先产生一个随机字符串(A),将这个字符串发送给客户端,客户端会用这个字符串和用户 输入的口令所产生的Hash值(B)生成一个新的字符串(C)。 并将这个新的字符串返回给服 务端。服务端将原先的随机字符串(A)与数据库中保存的口令Hash值(B'')再生成一个字符 串(C''),比较这两个字符串(C和C'')的内容是否一致,如果一致就允许登录,否则就不允许 登录。 然而,当比较C和C''这两个字符串内容的时候,由于没有考虑比较字符串的长度,导致了 问题的产生。从sql/password.c中可以看到有问题的代码部分: my_bool check_scramble(const char *scrambled, const char *message, ulong *hash_pass, my_bool old_ver) { ...... while (*scrambled) { if (*scrambled++ != (char) (*to++ ^ extra)) return 1; ?* Wrong password */ } return 0; } ...... 这里的scrambled就是客户端提供的字符串C,(*to++ ^ extra))就是服务端生成的字符串 C''(中的一个字符).我们可以看到,比较的次数决定于客户端提供的字符串C的长度。问 题就出在这里了,本来服务端应当首先判断这两个字符串长度是否相等的,但是它没有, 所以如果客户端提供的字符串只有一个字符,那么check_scramble()将只比较C和C''的第 一个字节。 C''的内容是随机产生的,所以第一次登录和第二次登录时,C''的第一个字符通常是不同的。 例如: @SQOGRFA 第一次 VV]KPIU_ 第二次 M[PPRYX^ 第三次 但是,根据分析,C''的每一个字符只可能有32种可能性,即: ABCDEFGHIGKLMNOPQRSTUVWXYZ\_][]@^ 那么理论上说,如果我们每次连接都发送同一个字符(比如''A'')作为口令,那么32次连接 中会有一次成功。当然,这只是从概率上统计,实际上尝试的次数会从1次到100多次不等。 三. 测试程序 根据上面的分析,我们只要每次发送一个字符给服务端,如果返回错误信息,我们再次发 送这个字符,直到成功为止。为了简单起见,我们可以修改mysql的client程序. 在client/libmysql.c中, mysql_real_connect()函数是用来与服务端建立连接的。 ...... MYSQL * STDCALL mysql_real_connect(MYSQL *mysql,const char *host, const char *user, const char *passwd, const char *db, uint port, const char *unix_socket,uint client_flag) { ...... DBUG_PRINT("info",("user: %s",buff+5)); /* 这里的scramble()函数将产生校验用的口令字符串C,然后将C复制到strend(buff+5)+1 处,既然我们只是要发送一个字符过去,我们可以注释掉这两行,直接将一个字?br> 复制过去即?br> ?/ ?br> ?br> end=scramble(strend(buff+5)+1, scramble_buff, passwd, ?my_bool) (mysql->protocol_version == 9)); if (db && (mysql->server_capabilities & CLIENT_CONNECT_WITH_DB)) { ...... } ?br> ?br> 修改后变成: ?br> ?..... MYSQL * STDCALL mysql_real_connect(MYSQL *mysql,const char *host, const char *user, const char *passwd, const char *db, uint port, const char * |
查看所有评论