BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ BÀI TẬP LỚN MƠN AN TỒN CƠ SỞ DỮ LIỆU GIẢNG VIÊN HƯỚNG DẪN: TS TRẦN THỊ LƯỢNG SINH VIÊN THỰC HIỆN: HỨA THỊ THU HIỀN – AT13D NGUYỄN THỊ THU TRANG – AT13D TRẦN MINH HIẾU – AT13D LÊ CÔNG THẢO – AT13D Hà Nội, 2019 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ĐỀ TÀI TÌM HIỂU VỀ TẤN CƠNG LEO THANG ĐẶC QUYỀN (PRIVILEGE ESCALATION) TRÊN ORACLE VÀ THỰC NGHIỆM Giảng viên hướng dẫn: TS Trần Thị Lượng Sinh viên thực hiện: Hứa Thị Thu Hiền – AT13D Trần Minh Hiếu – AT13D Lê Công Thảo – AT13D Nguyễn Thị Thu Trang – AT13D Hà Nội, 2019 MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH ẢNH LỜI NÓI ĐẦU CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1) Giới thiệu Oracle .2 1.2) Quá trình cài đặt Oracle 1.3) Các loại công Oracle .16 1.3.1) Tấn công SQL Injection 16 1.3.2) Tấn công chèn PL/SQL .17 1.3.3) Tấn công Rootkit Oracle 17 1.3.4) Tấn công Oracle Listener 17 1.3.5) Sâu Oracle 17 CHƯƠNG 2: TÌM HIỂU VỀ TẤN CƠNG LEO THANG ĐẶC QUYỀN (PRIVILEGE ESCALATION) TRÊN ORACLE VÀ THỰC NGHIỆM 19 2.1) Tổng quan leo thang đặc quyền 19 2.2) Cách thức công 21 2.3) Các kỹ thuật leo thang đặc quyền cách phòng tránh 22 2.3.1) Kỹ thuật thao tác token truy cập .22 2.3.2) Khai thác lỗ hổng việc quản lý tài khoản người dùng quyền thiết lập 24 2.3.3) Sử dụng tài khoản hợp lệ 25 2.4) Bài toán thực nghiệm 26 2.3) Thách thức .32 2.4) Giải pháp bảo mật Oracle Database 32 TỔNG KẾT .34 TÀI LIỆU THAM KHẢO 35 DANH MỤC TỪ VIẾT TẮT Từ viết tắt CSDL SQL DBA OS CNTT ID Từ viết đầy đủ Cơ Sở Dữ Liệu Structured Query Language Database Admin Operating System Công Nghệ Thông Tin Identification Ý nghĩa Cơ sở liệu Ngôn ngữ truy vấn Quản trị sở liệu Hệ điều hành Cơng nghệ thơng tin Định danh DANH MỤC HÌNH ẢNH Hình 1: Tải file cài đặt Hình 2: Giải nén file cài đặt Hình 3: Chạy file cài đặt Hình 4: Bước - Đăng nhập oracle .5 Hình 5: Bước - Cài đặt lựa chọn .6 Hình 6: Bước - cài đặt server Hình 7: Bước - Cài đặt database .7 Hình 8: Bước - Cài đặt tùy chọn .7 Hình 9: Bước - Chọn ngôn ngữ Hình 10: Bước - Chọn phiên oracle Hình 11: Bước - Tạo user Hình 12: Bước - Chọn lưu trữ Hình 13: Bước 10 - Cài đặt bổ sung 10 Hình 14: Bước 11 - Đặt tên database 10 Hình 15: Bước 12.1 - Cài đặt lưu trữ 11 Hình 16: Bước 12.2 - Cấu hình font chữ 11 Hình 17: Bước 12.3 - Cài đặt bổ sung 12 Hình 18: Bước 13 - Chọn file lưu trữ liệu .12 Hình 19: Bước 14 - Đăng ký thành viên 13 Hình 20: Bước 15 - Cài đặt file recovery 13 Hình 21: Bước 16 - Cài đặt mật database 14 Hình 22: Bước 18 - Cài đặt tự động 14 Hình 23: Bước 19.1 - Cài đặt tự động (1) 15 Hình 24: Bước 19.2 - Cài đặt tự động (2) 15 Hình 25: Bước 19.3 - Thông tin cài đặt .16 Hình 26: Bước 20 - Hồn thành cài đặt thành cơng 16 Hình 27: Demo - đăng nhập với quyền sys 27 Hình 28: Demo - Tạo user lct gán quyền 27 Hình 29: Demo - Tạo bảng cấp quyền index cho user lct 28 Hình 30: Demo - User lct cố gắng lấy quyền dba 28 Hình 31: Demo - User lct tạo function .29 Hình 32: Demo - User lct lập mục với function tạo 29 Hình 33: Demo - User lct lấy quyền dba thành cơng 30 Hình 34: Demo - kết thúc, công thành công 30 LỜI NÓI ĐẦU Cơ sở liệu ngành quan tâm nhiều khoa học máy tính nói chung cơng nghệ thơng tin nói riêng Từ có mơ hình sở liệu vào năm 60 đến nay, chặng đường dài so với ngành khoa học khác, với ngành khoa học máy tính đặc biệt sở liệu thời gian đáng kể Cơ sở liệu trải qua nhiều hệ hệ quản trị sở liệu có nhiều ứng dụng khoa học ngành kinh tế khác Hệ quản trị sở liệu Oracle hệ quản trị sở liệu lưu trữ thơng tin an tồn chắn đồng thời lại truy cập xác, dễ dàng Cơ sở liệu (CSDL) tổ chức, doanh nghiệp mục tiêu nhiều công Bởi nơi lưu trữ thông tin khách hàng nhiều liệu bí mật khác Một nguyên nhân khiên cho CSDL dễ bị tổn thương công tổ chức, doanh nghiệp chưa có biện pháp bảo vệ đầy đủ cho nguồn tài nguyên Khi kẻ xấu truy nhập vào liệu nhạy cảm, thực tất công việc để gây mát tài phá hoại danh tiếng tổ chức doanh nghiệp Bản báo cáo nhóm chúng em xin trình bày đề tài cơng leo thang đặc quyền vào sở liệu Oracle Do hạn chế nhiều thời gian, kiến thức kinh nghiệm thực tế nên đề tài nhóm em khơng tránh khỏi thiếu xót khuyết điểm Nhóm thực đề tài mong nhận đánh giám nhận xét từ thầy để chúng em hoàn thiện cách tốt nhất, rút kinh nghiệm nghiên cứu công việc sau Chúng em xin chân thành cảm ơn! CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1) Giới thiệu Oracle Các doanh nghiệp cơng ty lớn có lượng thơng tin khách hàng ngày lớn thường xuyên, q trình quản lý việc xử lý thơng tin vấn đề phức tạp mà tổ chức cần phải Ngày có nhiều chương trình ứng dụng giúp ta quản lý lưu trữ thơng tin dễ dàng, kể đến Oracle, chương trình ứng dụng, có chế bảo mật liệu chặt chẽ giúp cho hệ thống hoạt động tốt an toàn việc cập nhật truy cập liệu, tránh việc mát liệu, dễ dàng bảo trì nâng cấp, có chế quyền hạn rõ ràng sử dụng nhiều tổ chức lớn ngân hàng, phủ, … Oracle dễ nâng cấp lên phiên mới, thuận lợi cho lập trình viên viết Trigger, Package Oracle cịn tích hợp thêm PL/SQL ngơn ngữ lập trình có cấu trúc điểm mạnh Oracle so với CSDL khác Oracle tương tác với nhiều hệ điều hành Windows, Linux Oracle giải pháp cung cấp công ty Oracle – Đây hệ quản trị CSDL có tính bảo mật cao, hỗ trợ tốt mơ hình truy cập liệu tập trung phân tán Giải pháp Oracle bao gồm: - Hệ quản trị CSDL Oracle Database cài đặt máy chủ Database Server - Oracle Client cài đặt máy trạm cho phép ứng dụng máy trạm truy cập thao tác với ứng dụng máy chủ - Công cụ cho việc thiết kế quản trị CSDL Oracle Designer, SQL Plus - PL/SQL ngôn ngữ thủ tục cho Oracle dùng để xây dựng đối tượng Oracle Database 1.2) Quá trình cài đặt Oracle - Tải file cài đặt trang chủ oracle Hình 1: Tải file cài đặt - Giải nén file tải Hình 2: Giải nén file cài đặt - Chạy chương trình setup.exe Hình 3: Chạy file cài đặt - Bước 1: Đăng nhập oracle Hình 4: Bước - Đăng nhập oracle - Bước 2: Cài đặt phần mềm tạo ln database có tên db12c Hình 5: Bước - Cài đặt lựa chọn - Bước 3: Cài đặt server Hình 6: Bước - Cài đặt server ...BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ĐỀ TÀI TÌM HIỂU VỀ TẤN CƠNG LEO THANG ĐẶC QUYỀN (PRIVILEGE ESCALATION) TRÊN ORACLE VÀ THỰC NGHIỆM Giảng viên hướng dẫn:... THANG ĐẶC QUYỀN (PRIVILEGE ESCALATION) TRÊN ORACLE VÀ THỰC NGHIỆM 19 2.1) Tổng quan leo thang đặc quyền 19 2.2) Cách thức công 21 2.3) Các kỹ thuật leo thang đặc quyền cách... trình bày đề tài cơng leo thang đặc quyền vào sở liệu Oracle Do hạn chế nhiều thời gian, kiến thức kinh nghiệm thực tế nên đề tài nhóm em khơng tránh khỏi thiếu xót khuyết điểm Nhóm thực đề tài mong