SQL SERVER 2000通讯管道后复用劫持

深入SQL SERVER 2000管道通讯劫持：一个实际案例

作者：FLASHSKY

来源：XFOCUS社区

电子邮件：[](mailto:)

在SQL SERVER 2000的通讯机制中，管道通讯是一种重要的通信方式。默认实例和命名实例的管道名称分别为“\\.\pipe\sql\query”和“\\.\pipe\MSSQL$instancename\sql\query”。通过1434 UDP端口也可以查询获得管道名称。

SQL SERVER 2000的管道ACL设置存在安全隐患。当ACL设置为NULL时，任何用户都有权限尝试对该管道进行劫持。虽然过去常见的劫持方法是通过停止服务、建立新管道再启动服务来实现，但SQL SERVER 2000具有判断同名管道的机制，并可能使用其他名称。低权限用户通常无法启动或停止服务，除非利用某些漏洞。

实际测试发现，如果将管道的ACL设置为NULL，即使对于后命名的管道，也可以劫持先命名的管道。攻击者只需复用管道，并建立几个不释放的管道连接。具体需要建立的连接数可能与实际管道使用的情况有关。例如，在测试中发现“\\.\pipe\sql\query”只需建立一个连接即可进行劫持，而“\\.\pipe\lsass”则需要建立4-5个连接后才能进行劫持。值得注意的是，“\\.\pipe\lsass”的ACL只允许管理员进行劫持操作。

当攻击者成功复用同名管道并占用一定数量的连接后，任何新的管道连接都会进入攻击者的程序监听流程。这样，攻击者就可以利用模拟函数获取发起者的权限。

以狼蚁网站SEO优化为例，我们可以简单演示如何实现对SQL SERVER 2000管道通讯的劫持。环境要求包括SQL SERVER 2000+SP2、WIN2000 SERVER中文版+SP3等。测试流程如下：

1. 配置SQL服务器允许管道通讯，并启用集成WINDOWS验证。为SQL SERVER添加一个具备高权限的WINDOWS本机帐户。

2. 在C盘下创建一个TEST.TXT文件，设置ACL为GUEST全部拒绝，其他用户许可。

3. 在另一台机器B上，使用添加的账户登录SQL SERVER，并将客户端网络库设置为仅使用管道。

4. 使用SQL SERVER企业管理器建立SQL SERVER的连接，采用集成WINDOWS验证。

5. 在主机A上，以GUEST帐户运行狼蚁网站SEO优化程序。程序会尝试打开TEST.TXT文件，但由于权限问题无法成功，然后开始等待并劫持客户端管道连接。

6. 在机器B上连接SQL SERVER时，主机A的程序会截获这个管道连接并扮演高权限登录用户，从而能够打开先前无法访问的文件。

介绍SQL SERVER 2000的管道劫持代码

在Windows环境中，一段精心编写的C语言代码正在悄然行动。它利用SQL SERVER 2000的一个潜在漏洞，尝试接管系统的管道通信。

这段代码首先尝试在系统的GUEST权限下打开一个名为"C:\test.txt"的文件。如果无法打开，它暗示当前权限不足，因为它遇到了权限壁垒。在默认情况下，许多管道对低权限用户设置有良好的访问控制列表（ACL），不允许复制。SQL SERVER的某些管道却存在ACL设置不当的问题。这正是这段代码试图利用的机会。

接下来，代码创建一个同名管道，尝试复用已存在的SQL SERVER的管道。它通过调用CreateNamedPipe函数来建立管道连接。如果创建失败，它会捕获错误代码并打印出来。然后，它等待其他实例使用WaitNamedPipe函数。一旦连接建立成功，代码就会尝试打开管道并模拟连接进来的用户。在这个过程中，它会尝试获取用户信息并再次尝试打开文件来验证权限是否提升。一旦完成这些操作，它就会断开连接并关闭所有句柄。这个过程对于了解如何通过管道劫持提升权限是非常关键的。

除了SQL SERVER的管道外，文章还提到了其他管道的漏洞情况。这些管道可能存在类似的ACL设置问题，使得低权限用户能够利用这些漏洞提升权限。例如，WMIEP_454、WMIEP_444、nddeapi等管道在GUEST权限下也可以被劫持。文章还提到了某些管道的具体用途和可能的攻击点。这些信息对于理解这些漏洞如何被利用以及如何进行防范至关重要。这些管道漏洞的发现和利用展示了在系统服务安全方面的潜在风险和挑战。保护系统免受这些攻击的关键在于正确的配置和监控系统的访问控制列表以确保只有授权的用户能够访问这些管道。同时还需要定期审查和更新系统的安全策略以应对不断变化的威胁环境。通过这些措施可以大大提高系统的安全性并减少潜在的攻击风险。需要注意的是在进行任何系统更改之前都应进行充分的测试和评估以确保不会引入新的问题或漏洞。在技术的深邃海洋中，nddeapi的存在显得尤为引人注目。当我们nddeapi的应用时，我们不难发现它所带来的深远影响。随着技术的进步，WMI（Windows Management Instrumentation）的应用也越来越广泛。它的复杂性却成为了一些挑战的来源。看起来每一个连接都会开启一个新的征程，这无疑给复用的潜力带来了限制。那么，我们该如何应对这种挑战呢？或许我们可以尝试通过预测名字的方式提前复用攻击。值得注意的是，WMI的权限机制似乎并不统一。有时，我们不能对GUEST进行复用，而在其他情况下却可以。这无疑为我们提供了一种新的视角，需要我们深入研究和理解。

在未来的某个时刻，我们可能需要深入WMI客户与服务器之间连接产生的管道通讯。这种通讯可能依赖于某种默认的管道名进行传输。或许这正是我们期待已久的攻击点。这样的可能性激发了我们的热情和勇气。我们期待着解开这个谜团，找到突破点，从而发掘更多的潜力。这需要我们的努力、专注和持续的学习。这也将带给我们无尽的乐趣和成就感。当我们面对挑战时，我们必须保持冷静和专注，不断新的方法和策略来应对这些挑战。只有这样，我们才能在技术的道路上不断前行，实现我们的目标。我们也要学会享受这个过程，体验每一次挑战带来的乐趣和满足感。这将是我们不断前进的动力和源泉。让我们共同期待这个充满机遇和挑战的未来吧！

此刻，让我们暂时将目光转向Cambrian的渲染技术。随着“body”的呈现，我们仿佛置身于一个全新的世界之中。这是一个充满活力和创造力的世界，它正等待着我们去、去体验其中的美好与神奇。在这里，每一个细节都显得如此生动而富有感染力。让我们一起沉浸在这个世界中，感受它带给我们的惊喜与喜悦吧！