深入探索MS SQL Server 2000网络连接的安全问题

创建时间：2001-11-13
文章属性：原创
文章来源：refdom
文章提交：refdom (refdom_at_263.net)

作者：refdom （refdom@263.net）

    下面我们要说的，并不是SQL Server存在的漏洞，而只是一些安全缺陷，存在一些问题，当然这些问题是SQL Server一产生的时候就存在的。

1、MS SQL Server的密码明文传输缺陷

   很倒霉，我没有在微软发布SQL Server的时候做下面的分析。当我吃惊地发现SQL Server竟然是使用明文进行密码传输的时候，我就马上去查阅是否有这些资料。可惜已经早早有人提出能够用sniffer获取SQL Server的密码了。不过，既然微软这么大胆，我们还是去看看，分析分析这个缺陷。

    当然，SQL Server的连接过程还是先进行TCP连接的三次握手，同服务器建立连接过后，然后进行TDS（tabular data stream）协议的数据交流，可惜的是我一直没有找到TDS协议的具体描述，只有一些片段，所以，都只能一点点地对着数据报分析。谁有TDS协议（SQL Sevrer）的具体描述一定送我一份哦。

    直接到login包吧，你会发现，你的用户名完全是明文的，而密码还不是。当你改变密码的时候，你可以看出，相同字符的编码是一样的，密码字符之间用一个相同的字符作为分隔“a5”。呵呵。所以，最傻的办法就是我做的这样，一个字符一个字符地改变密码，然后得到所有字符的对应编码（我不会解密）。
我使用的是SQL Server 2000 。我这里列举一部分得到的对应编码。大家可以很容易得到完整的字符编码。
“a”——b3          “A”——b1
“b”——83          “B”——81
“c”——93          “C”——91
“d”——e3          “D”——e1
“e”——f3          “E”——f1
    等等。

    对了，在SQL Server中不支持用 '、" 等等符号作为密码，如果你在用这些字符作为密码的话，那就糟糕了，你永远也登陆不上了，除非更改密码。
    在TDS数据报的头中规定了一个字节来表示数据报类型，我探测到的是0x10，而我得到的资料说是用0x02来表示Login的数据报，可能是MS SQL Server在协议上有一些改动，因为Sybase也是使用的TDS协议的，那么Sybase可能也是使用的明文传输吧，我手里没有Sybase。可惜没有TDS协议的完整描述，所以，我也偷懒没有写出专门获得SQL Server帐号和密码的sniffer程序，谁能给我TDS协议的详细描述，请email: refdom@263.net。

    不过MS对SQL Server的传输还是提供加密办法的，你可以使用SSL来加密。于是我也试了试，可以在实例属性的网络配置里面选择强制协议加密，然后要求你重新启动SQL Server，呵呵，然后呢，你启动起来了么？哈哈，我可是吃了亏的。因为没有SSL证书，所以，你一启动就错误，事件日志中说明是没有提供有效的证书。重新安装吧。该死的MS也不在我选择的时候提醒一下。

    嗅探得到数据库帐号意味着什么？如果能够得到SA帐号呢？哈哈，有兴趣可以看看我前些天写的《从IIS转到SQL数据库安全》。


2、明文的数据传输缺陷
    如果没有使用加密的协议的话，那么整个数据库的网络数据都是没有加密的，而且是明文传输。无论是从客户端发送命令还是从服务器端得到结果，都是明文传输的。看来，如果你用加密的协议，微软是不会为你做任何安全防护的。我想，目前国内使用的SQL Server数据库差不多都是没有使用SSL来加密，看来在网络上能得到不少东西。


3、神秘的1434端口和服务器信息明文传输缺陷

    对于SQL Server2000来说，打开SQL Server客户端准备连接，当拉开服务器列表的时候，整个局域网所有的SQL Server服务器都被列出来了。于是我发现，从我自己的机器(192.168.0.1)上从1434端口广播(192.168.0.255)了这个UDP包，然后，整个局域网中的SQL Server服务器都开始响应这个UDP数据包，这时，我的客户端能够得到所有服务器信息。

     这就是客户端进行连接的过程：当客户端连接到服务器时，应用程序请求连接远端计算机，Dbnetlib.dll 将打开到连接中所指定的计算机网络名上的 UDP 端口 1434 的连接。所有运行 SQL Server 2000 的计算机都监听此端口。当一个客户端 Dbnetlib.dll 连接到该端口时，服务器将返回一个监听服务器上运行的所有实例的数据包。对于每个实例，该数据包报告该实例正在监听的服务器 Net-Library 和网络地址。应用程序计算机上的 Dbnetlib.dll 收到该数据包后，选择在应用程序计算机和 SQL Server 实例上都启用的 Net-Library，然后连接为此数据包中的 Net-Library 列出的地址。

     通过1434端口传输特定的UDP数据包，然后服务器开始回应，所有这些都是明文传输的，我们可以很容易探测一个IP地址的1434端口，获得该IP地址上运行的SQL Server的相关信息。这些信息包括：主机名称、实例名称、版本、管道名称以及使用的端口等。这个端口是微软自己使用，而且不象默认的1433端口那样可以改变，1434是不能改变的，呵呵，那么我们为了安全，去改变这个1433端口能起什么作用呢？

    我们可以来捕获这些数据报，可以发现，通过1434端口的数据非常简单，客户端仅仅简单地发送了02一个字节出去。不过多次捕获，发现有时候发送的是 03。于是我就用下面程序一个一个测试，发送其他数据。不过最后只有02、03、04有回应。看来这三种字节用来做SQL Server探测的。而且你可以发送 02 00 00，也可以发送 02 00 00 00 00等等都能够得到SQL Server的回应，但是发送 02 03就不可以了。

    下面是一个利用1434进行探测的程序，可以探测单个IP，也可以用来探测整个局域网的数据库服务器。
////////////////////////////////////////////////////////////
// 　　　　　　　 　　　　                                      
// SQLPing by refdom
//
// Author: refdom. From Chip Andrews
// Email: refdom@263.net
//
////////////////////////////////////////////////////////////

#include "stdafx.h"
#include <string.h>
#include <stdio.h>
#include <winsock2.h>

void decode_recv (char *buf, int size)
{
    int index;
    int counter = 0;

    for (index = 3; index < size; index++)
    {
        if ((buf[index] == ';') && (buf[index+1] != ';'))
        {  
            //Look for a semi-colon and check for end of record (;;)
            if ((counter % 2) == 0)
            {
                printf(":");
                counter++;
            }
            else
            {
                printf("\n");
                counter++;
            }
        }
        else
        {
            if (buf[index] != ';')
            {  
                // If an end of record (;;), then double-space for next instance
                printf("%c",buf[index]);
            }
            else
            {
                printf("\n");
            }
        }
    }
      
    printf("\n");
}

void listen (void* v)
{
    static const unsigned int buffersize = 64000;
    static char buffer [buffersize];

    SOCKET s = (SOCKET)v;

    for (;;)
    {
        struct sockaddr_in udpfrom;
        int udpfromlen = sizeof(udpfrom);
        int n = recvfrom(s, buffer, sizeof(buffer), 0, (struct sockaddr *)&udpfrom, &udpfromlen);
        int e = WSAGetLastError();
        
        if (n > 0 && e == 0)
            decode_recv(buffer, n);

    }
}

void useage()
{
    printf("******************************************\n");
    printf("SQLPing\n");
    printf("\t Written by Refdom\n");
    printf("\t Email: refdom@263.net\n");
    printf("Useage: sqlping.exe target_ip \n");
    printf("*******************************************\n");
}

int main(int argc, char* argv[])
{
    WSADATA WSAData;
    SOCKET sock;
    SOCKADDR_IN addr_in;
    char buf[5]={'\x02'};
    HANDLE listener;

    useage();

    if (argc<2)
    {
        return false;
    }

    if (WSAStartup(MAKEWORD(2,0),&WSAData)!=0)
    {
        printf("WSAStartup error.Error:%d\n",WSAGetLastError());
        return false;
    }

    if ((sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP))==INVALID_SOCKET)
    {
        printf("Socket failed.Error:%d\n",WSAGetLastError());
        return false;
    }

    addr_in.sin_family=AF_INET;
    addr_in.sin_port=htons(1434);
    addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);

    const int SNDBUF = 0;
    const int TCPNODELAY = true;
    const int BROADCAST = true;
    
    if (setsockopt(sock, SOL_SOCKET, SO_SNDBUF, (const char*)&SNDBUF, sizeof(SNDBUF))==SOCKET_ERROR)
    {
        printf("Set SO_SNDBUF failed.Error:%d",WSAGetLastError());
        return false;
    }
    if (setsockopt(sock, SOL_SOCKET, TCP_NODELAY, (const char*)&TCPNODELAY, sizeof(TCPNODELAY))==SOCKET_ERROR)
    {
        printf("Set TCP_NODELAY failed.Error:%d",WSAGetLastError());
        return false;
    }
    if (setsockopt(sock, SOL_SOCKET, SO_BROADCAST, (const char*)&BROADCAST, sizeof(BROADCAST))==SOCKET_ERROR)
    {
        printf("Set SO_BROADCAST failed.Error:%d",WSAGetLastError());
        return false;
    }

    listener = (HANDLE) _beginthread(listen, 0, (void*)sock);

//    e = sendto(s, "\08", 1, 0,(sockaddr*) &hostaddr, sizeof(hostaddr));
    if (sendto(sock, buf, sizeof(buf), 0,(sockaddr*) &addr_in, sizeof(addr_in))==SOCKET_ERROR)
    {
        printf("Send failed.Error:%d\n",WSAGetLastError());
        return false;
    }

    printf("Listening....\n\n");

    // wait a little while for listener thread
    WaitForSingleObject(listener, 5000);

    WSACleanup();

    printf("SQLPing Complete.\n");
    return 0;
}

上面的程序只有探测作用，没有破坏性。呵呵

     感谢Hectic给我提供的帮助。限于本人的水平，难免有错误之处，还请大家多多指正。如果谁有TDS协议（应用在SQL Server上的）的具体描述手册，请EMAIL给我，谢过了。EMAIL： refdom@263.net