浅谈暴库漏洞原理及规律(图)

　　脚本小子：不管是%5c也好，Conn.asp也好，暴库都是入侵者最喜欢的一种省力而有效的入侵手法，但是很多朋友只是知道怎么用，知道如何能得到数据库，但原理究竟是什么?网络上也好，安全公司的朋友们也好，都没有正式的给出原理的分析和解释。本文的作者就试图从原理上去分析这个漏洞的形成和规律，不管对错，至少已经比我们先迈出了一大步!

　　我看暴库漏洞原理及规律

　　SQL注入流行很久了，我们找漏洞注入目的无非是想得到数据库内的东西，比如用户名密码等，更进一步的MSSQL数据库还可以借此获得权限。基于Access的基础来说，如果我们不用注入就可以得到整个数据库，不是更好吗?于是暴库成了一个比注入更简单的入侵手段。

　　有关暴库的方法，高手们常在入侵文章中提到，但多是一笔带过，有些就某一个方法谈的，也多是就方法进行探讨。最近有一篇《再谈%5c暴库的利用》的文章，算是对暴库进行了一些总结，因而在网是流传很广。但仍没有谈及原理，而且结论也只是就于经验，似是而非，于是决定来谈谈暴库的原理与规律。不到之处，大家多指教。

　　“%5c”暴库大法

　　这种方法被认为是暴库绝招，很是流行了一阵，但是和其它漏洞一样，随着知道的人多了，防备也加强了，没以前那么有效。这种方法简单点说就是在打开网页时，把网址址中的“/”换成“%5c”，然后提交，就可以暴出数据库的路径。

　　实际上，并不是所有网址都有效，需要“asp?id=”这样的网页地址，或者说表示有调用数据库的行为的地址。如果你确认这个网页有调用数据库的，后面不是这样的也可以，比如Chklogin.asp等也可以(还有其它条件，后面再谈)。先举个黑防第四轮实验室中的例子：

　　http://219.237.81.46/yddown%5cview.asp?id=3

　　把第二个“/”换成“%5c”：

　　http://219.237.81.46/yddown%5cview.asp?id=3

　　提交后会得到如下返回结果：

　　Microsoft JET Database Engine 错误 '80004005'

　　'D:1adminrds_dbd32rfd213fg.mdb'不是一个有效的路径。 确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。

　　/yddown/conn.asp，行12

　　这是黑防实验室的一个系统，暴库是小编们故意开放的，因为它的关口不是注入，而是进入后台后如何获得WebShell。可以看到我们直接获取了数据库地址，可以下载了。

　　现在很多人都知道这个方法了，我就不多举例了。但清楚暴库原理的人估计是不多的，有人成功，有人不成功，《再谈%5c暴库的利用》一文总结说，须变换第二个“/”为“%5c”才行。很有实用性，但这个结论只是一种经验，其实并不正确，让我们先看看它的原理。

　　“%5c”暴库法，它不是网页本身的漏洞，而是利用了IIS解码方式中的一个特性，如果IIS安全设置不周全，而网页设计者未考虑IIS错误，就会被人利用。为何要用“%5c”?它实际上是“”的十六进制代码，也就是“”的另一种表示法。在电脑中，它们是同一个东东，但提交“”和“%5c”却会产生不同的结果。在IE中，我们把下面第一个地址中的“/”换成“”提交：

　　http://219.237.81.46/yddown/view.asp?id=3

　　http://219.237.81.46/yddownview.asp?id=3

　　二者的访问结果是一样的。IE会自动把“”转变成“/”，从而访问到同一地址。但是，当我们把“/”换成十六进制写法“%5c”时，IE不会对此进行转换。地址中的“%5c”被原样提交了，抓包结果如下：

　　GET /yddown%5cview.asp?id=3 HTTP/1.1

　　当IIS收到并做出解析时，又会将%5c还原成“”。这样，IIS中网址的相对路径就变成/yddownview.asp，这一点很重要，问题正是从这里开始的。

　　在ASP网页中，凡调用数据库时，都会用到一个连接数据库的网页Conn.asp，它会创建一个数据库连接对象，定义要调用的数据库路径，一个典型的Conn.asp如下：

　　大家注意第4句：“DBPath = Server.MapPath("admin/rds_dbd32rfd213fg.mdb")”，Server.MapPath方法的作用是将网站中的相对路径转变成物理上的绝对路径，为何要这样?因为连接数据库时，须指明它的绝对路径才能读取和写入。那什么是相对路径、绝对路径?IIS为了不让访问者知道真实的实际路径，并且确保网站不因变换地址而影响使用，它采用了一种相对路径来表示目录与文件之间的关系。也就是网址目录只表示从根目录起的相对位置。比如网站：http://219.237.81.46的根目录为：“D:1”，雨点下载目录则在根目录(D:1)内的“yddown”下，我们网站访问该站时，就是在访问D:1yddown目录，而http://219.237.81.46/yddown/admin/只表明了Admin与Yddown这个目录的相对关系，把这个网站放在E盘，也一样不改变Admin位于Yddown目录下的关系。

　　当Server.MapPath方法将相对路径转为真实路径时，它实际是三部分路径加在一起得到真实路径的：网页目前执行时所在的相对路径，也就是从网站物理根目录起的相对路径，比如上面例子中Conn.asp处在从根目录起的“/yddown/”下;然后调用的数据库的相对路径是admin/rds_dbd32rfd213fg.mdb，这样就得到从根目录起的完整相对路径：“/yddown/admin/rds_dbd32rfd213fg.mdb”。这些都只是相对的路径，如何变为真实路径呢?

　　设置过IIS的人都会知道，每一个网站，都必须指定它在硬盘上的物理目录，比如上例中，网站根目录所在的物理目录为：“D:1”，Server.MapPath方法正是通过把“网站根目录的物理地址+完整的相对路径”，从而得到真实的物理路径，数据库在硬盘上的物理路径是：D:1yddownadminrds_dbd32rfd213fg.mdb。IIS以“”表示真实路径的目录关系，而以“/”表示虚拟路径，这可能就是IE会自动把我们地址中的“”转为“/”的原因。