文章來源：知了堂信息安全項(xiàng)目經(jīng)理馮老師

常見的數(shù)據(jù)庫(kù)攻擊包括弱口令、SQL注入、提升權(quán)限、竊取備份等。對(duì)數(shù)據(jù)庫(kù)日志進(jìn)行分析，可以發(fā)現(xiàn)攻擊行為，進(jìn)一步還原攻擊場(chǎng)景及追溯攻擊源。

0x01 MSSQL日志分析

首先，MSSQL數(shù)據(jù)庫(kù)應(yīng)啟用日志記錄功能，默認(rèn)配置僅限失敗的登錄，需修改為失敗和成功的登錄，這樣就可以對(duì)用戶登錄進(jìn)行審核。

登錄到SQL Server Management Studio，依次點(diǎn)擊 管理--SQL Server 日志

雙擊日志存檔文件即可打開日志文件查看器，并可以對(duì)日志進(jìn)行篩選或者導(dǎo)出等操作。

另外，MSSQ提供了一個(gè)工具SQL Server Profiler ，方便查找和發(fā)現(xiàn)SQL執(zhí)行的效率和語(yǔ)句問題。

日志分析案例：

在日志文件查看器中，選擇篩選，在篩選設(shè)置中源設(shè)置為“登錄”，應(yīng)用篩選器，確定。

篩選后的結(jié)果，可以很清晰的識(shí)別用戶登錄信息，記錄內(nèi)容包括用戶登錄時(shí)間、登錄是否成功、登錄使用的賬號(hào)以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址。

如下圖：客戶端：192.168.204.1進(jìn)行嘗試弱口令登錄，并發(fā)現(xiàn)其中有一條登錄成功的記錄。

0x02 SQL注入入侵痕跡

在利用SQL注入漏洞的過程中，我們會(huì)嘗試?yán)胹qlmap的--os-shell參數(shù)取得shell，如操作不慎，可能留下一些sqlmap創(chuàng)建的臨時(shí)表和自定義函數(shù)。我們先來看一下sqlmap os-shell參數(shù)的用法以及原理：

1、構(gòu)造一個(gè)SQL注入點(diǎn)，開啟Burp監(jiān)聽8080端口

sqlmap.py -u http://192.168.204.164/sql.asp?id=1 --os-shell --proxy=http://127.0.0.1:8080

HTTP通訊過程如下：

創(chuàng)建了一個(gè)臨時(shí)表sqlmapoutput，調(diào)用存儲(chǔ)過程執(zhí)行系統(tǒng)命令將數(shù)據(jù)寫入臨時(shí)表，然后取臨時(shí)表中的數(shù)據(jù)展示到前端。

通過查看數(shù)據(jù)庫(kù)中最近新建的表的結(jié)構(gòu)和內(nèi)容，可以判斷是否發(fā)生過sql注入漏洞攻擊事件。

檢查方法：

1、數(shù)據(jù)庫(kù)表檢查

2、檢查xp_cmdshell等存儲(chǔ)過程

xp_cmdshell在mssql2005之后的版本中是默認(rèn)禁止的，查看xp_cmdshell是否被啟用。

`Exec master.dbo.xp_cmdshell 'whoami'

3、需要結(jié)合web日志，通過查看日志文件的大小以及審計(jì)日志文件中的內(nèi)容，可以判斷是否發(fā)生過sql注入漏洞攻擊事件。