日志分析篇—MSSQL日志分析

前言

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析，可以发现攻击行为，进一步还原攻击场景及追溯攻击源。

文章目录

日志分析篇---MSSQL日志分析
前言
一、MSSQL日志分析
二、SQL注入入侵痕迹
- 1.构造一个SQL注入点，开启Burp监听8080端口
- 2.检查方法：
三、我的公众号

一、MSSQL日志分析

首先，MSSQL数据库应启用日志记录功能，默认配置仅限失败的登录，需修改为失败和成功的登录，这样就可以对用户
登录进行审核。

登录到SQL Server Management Studio，依次点击管理–SQL Server 日志

双击日志存档文件即可打开日志文件查看器，并可以对日志进行筛选或者导出等操作。

另外，MSSQ提供了一个工具SQL Server Profiler ，方便查找和发现SQL执行的效率和语句问题。

日志分析案例：
在日志文件查看器中，选择筛选，在筛选设置中源设置为“登录”，应用筛选器，确定。

筛选后的结果，可以很清晰的识别用户登录信息，记录内容包括用户登录时间、登录是否成功、登录使用的账号以及远
程登录时用户使用的IP地址。
如下图：客户端：192.168.204.1进行尝试弱口令登录，并发现其中有一条登录成功的记录。

二、SQL注入入侵痕迹

在利用SQL注入漏洞的过程中，我们会尝试利用sqlmap的–os-shell参数取得shell，如操作不慎，可能留下一些sqlmap
创建的临时表和自定义函数。我们先来看一下sqlmap os-shell参数的用法以及原理：

1.构造一个SQL注入点，开启Burp监听8080端口

sqlmap.py -u http://192.168.204.164/sql.asp?id=1 --os-shell --proxy=http://127.0.0.1:8080

创建了一个临时表sqlmapoutput，调用存储过程执行系统命令将数据写入临时表，然后取临时表中的数据展示到前
端。
通过查看数据库中最近新建的表的结构和内容，可以判断是否发生过sql注入漏洞攻击事件。

2.检查方法：

1、数据库表检查

2、检查xp_cmdshell等存储过程
xp_cmdshell在mssql2005之后的版本中是默认禁止的，查看xp_cmdshell是否被启用。
`Exec master.dbo.xp_cmdshell ‘whoami’
3、需要结合web日志，通过查看日志文件的大小以及审计日志文件中的内容，可以判断是否发生过sql注入漏洞攻击事
件。

三、我的公众号

后续操作请持续关注哦！！！
了解更多请关注下列公众号：