常见SQL Server 2000漏洞及其相关利用（3）

3、进一步解释

　　上面用的xp_cmdshell是SQL Server的扩展存储过程中的一个，存储过程就像是我们编程用的函数，内容是按需要编写的一系列SQL 语句和可选控制流语句，可由应用程序通过一个调用执行，而且允许用户声明变量、有条件执行以及其它强大的编程功能。每个库都可以存放存储过程，但扩展存储过程只存在master 数据库中，对用户来说，扩展存储过程与普通存储过程一样，执行方法也相同。但扩展存储过程能执行除了数据库之外的许多操作，上面我们看到通过调用xp_cmdshell可以执行windows系统下的各种命令。

　　扩展存储过程的功能非常强大，如图8，它们存在master库中的扩展存储过程中。

　　如xp_regenumvalues、 xp_regread、 xp_regwrite 、xp_regdeletevalue、 xp_regdeletekey这些扩展存储过程能对注册表进行读写操作。例如：可以通过下面命令查看注册表中的启动项目。

　　Exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run'

　　图8

　　二、注入和跨库攻击

　　注入和跨库攻击可能是2004年黑客攻击中最流行的词了，它的原理和上面讲的都是获得了SQL Server管理员sa的权限，从而控制数据库，还可以利用xp_cmdshell这样的SQL Server的扩展存储过程控制Windows系统。注入和空口令获取sa权限的方法不同，注入是ASP程序在连接SQL Server时有漏洞，黑客利用漏洞获取了sa权限。说到这，小王有点疑问，程序中sa连接的是自己的库而扩展存储过程在master库中，如何利用的?简单的说，有sa 的权限后就能查询出用户建的什么库，库中有哪些表，表中有什么字段，表的纪录等。这些又是如何实现的呢?

　　要解答这个问题需要从两个方面着手，一是新建个库后，SQL Server起了什么变化?二是SQL Server的权限。

　　1、新建一个库后其在系统库和系统表的位置

　　例：在SQL Server新建一个库，库名称为：xyz，在该库下建一个test的表，表中字段为id、name、password。

　　1)、库在哪里?

　　SQL Server安装完毕后默认安装了master、model、msdb、northwind、pubs、tempdb这6个库，其中northwind、pubs是例子库，其它都是系统数据库，各有其用。xyz库建好后，库名称存在master库中的sysdatabases表中，如图9所示，sysdatabases表中的 dbid字段的值大于6的就是用户自己建的库。图10中用Select name FROM sysdatabases where dbid>6可以查出用户自己建的库，刚建的xyz库也在其中。

　　图9

　　图10