深入探索MS SQL Server 2000网络连接的安全问题
创建时间:2001-11-13
文章属性:原创
文章来源:refdom
文章提交:refdom (refdom_at_263.net)
作者:refdom (refdom@263.net)
下面我们要说的,并不是SQL Server存在的漏洞,而只是一些安全缺陷,存在一些问题,当然这些问题是SQL Server一产生的时候就存在的。
1、MS SQL Server的密码明文传输缺陷
很倒霉,我没有在微软发布SQL Server的时候做下面的分析。当我吃惊地发现SQL Server竟然是使用明文进行密码传输的时候,我就马上去查阅是否有这些资料。可惜已经早早有人提出能够用sniffer获取SQL Server的密码了。不过,既然微软这么大胆,我们还是去看看,分析分析这个缺陷。
当然,SQL Server的连接过程还是先进行TCP连接的三次握手,同服务器建立连接过后,然后进行TDS(tabular data stream)协议的数据交流,可惜的是我一直没有找到TDS协议的具体描述,只有一些片段,所以,都只能一点点地对着数据报分析。谁有TDS协议(SQL Sevrer)的具体描述一定送我一份哦。
直接到login包吧,你会发现,你的用户名完全是明文的,而密码还不是。当你改变密码的时候,你可以看出,相同字符的编码是一样的,密码字符之间用一个相同的字符作为分隔“a5”。呵呵。所以,最傻的办法就是我做的这样,一个字符一个字符地改变密码,然后得到所有字符的对应编码(我不会解密)。
我使用的是SQL Server 2000 。我这里列举一部分得到的对应编码。大家可以很容易得到完整的字符编码。
“a”——b3 “A”——b1
“b”——83 “B”——81
“c”——93 “C”——91
“d”——e3 “D”——e1
“e”——f3 “E”——f1
等等。
对了,在SQL Server中不支持用 '、" 等等符号作为密码,如果你在用这些字符作为密码的话,那就糟糕了,你永远也登陆不上了,除非更改密码。
在TDS数据报的头中规定了一个字节来表示数据报类型,我探测到的是0x10,而我得到的资料说是用0x02来表示Login的数据报,可能是MS SQL Server在协议上有一些改动,因为Sybase也是使用的TDS协议的,那么Sybase可能也是使用的明文传输吧,我手里没有Sybase。可惜没有TDS协议的完整描述,所以,我也偷懒没有写出专门获得SQL Server帐号和密码的sniffer程序,谁能给我TDS协议的详细描述,请email: refdom@263.net。
不过MS对SQL Server的传输还是提供加密办法的,你可以使用SSL来加密。于是我也试了试,可以在实例属性的网络配置里面选择强制协议加密,然后要求你重新启动SQL Server,呵呵,然后呢,你启动起来了么?哈哈,我可是吃了亏的。因为没有SSL证书,所以,你一启动就错误,事件日志中说明是没有提供有效的证书。重新安装吧。该死的MS也不在我选择的时候提醒一下。
嗅探得到数据库帐号意味着什么?如果能够得到SA帐号呢?哈哈,有兴趣可以看看我前些天写的《从IIS转到SQL数据库安全》。
2、明文的数据传输缺陷
如果没有使用加密的协议的话,那么整个数据库的网络数据都是没有加密的,而且是明文传输。无论是从客户端发送命令还是从服务器端得到结果,都是明文传输的。看来,如果你用加密的协议,微软是不会为你做任何安全防护的。我想,目前国内使用的SQL Server数据库差不多都是没有使用SSL来加密,看来在网络上能得到不少东西。
3、神秘的1434端口和服务器信息明文传输缺陷
对于SQL Server2000来说,打开SQL Server客户端准备连接,当拉开服务器列表的时候,整个局域网所有的SQL Server服务器都被列出来了。于是我发现,从我自己的机器(192.168.0.1)上从1434端口广播(192.168.0.255)了这个UDP包,然后,整个局域网中的SQL Server服务器都开始响应这个UDP数据包,这时,我的客户端能够得到所有服务器信息。
这就是客户端进行连接的过程:当客户端连接到服务器时,应用程序请求连接远端计算机,Dbnetlib.dll 将打开到连接中所指定的计算机网络名上的 UDP 端口 1434 的连接。所有运行 SQL Server 2000 的计算机都监听此端口。当一个客户端 Dbnetlib.dll 连接到该端口时,服务器将返回一个监听服务器上运行的所有实例的数据包。对于每个实例,该数据包报告该实例正在监听的服务器 Net-Library 和网络地址。应用程序计算机上的 Dbnetlib.dll 收到该数据包后,选择在应用程序计算机和 SQL Server 实例上都启用的 Net-Library,然后连接为此数据包中的 Net-Library 列出的地址。
通过1434端口传输特定的UDP数据包,然后服务器开始回应,所有这些都是明文传输的,我们可以很容易探测一个IP地址的1434端口,获得该IP地址上运行的SQL Server的相关信息。这些信息包括:主机名称、实例名称、版本、管道名称以及使用的端口等。这个端口是微软自己使用,而且不象默认的1433端口那样可以改变,1434是不能改变的,呵呵,那么我们为了安全,去改变这个1433端口能起什么作用呢?
我们可以来捕获这些数据报,可以发现,通过1434端口的数据非常简单,客户端仅仅简单地发送了02一个字节出去。不过多次捕获,发现有时候发送的是 03。于是我就用下面程序一个一个测试,发送其他数据。不过最后只有02、03、04有回应。看来这三种字节用来做SQL Server探测的。而且你可以发送 02 00 00,也可以发送 02 00 00 00 00等等都能够得到SQL Server的回应,但是发送 02 03就不可以了。
下面是一个利用1434进行探测的程序,可以探测单个IP,也可以用来探测整个局域网的数据库服务器。
////////////////////////////////////////////////////////////
//
// SQLPing by refdom
//
// Author: refdom. From Chip Andrews
// Email: refdom@263.net
//
////////////////////////////////////////////////////////////
#include "stdafx.h"
#include <string.h>
#include <stdio.h>
#include <winsock2.h>
void decode_recv (char *buf, int size)
{
int index;
int counter = 0;
for (index = 3; index < size; index++)
{
if ((buf[index] == ';') && (buf[index+1] != ';'))
{
//Look for a semi-colon and check for end of record (;;)
if ((counter % 2) == 0)
{
printf(":");
counter++;
}
else
{
printf("\n");
counter++;
}
}
else
{
if (buf[index] != ';')
{
// If an end of record (;;), then double-space for next instance
printf("%c",buf[index]);
}
else
{
printf("\n");
}
}
}
printf("\n");
}
void listen (void* v)
{
static const unsigned int buffersize = 64000;
static char buffer [buffersize];
SOCKET s = (SOCKET)v;
for (;;)
{
struct sockaddr_in udpfrom;
int udpfromlen = sizeof(udpfrom);
int n = recvfrom(s, buffer, sizeof(buffer), 0, (struct sockaddr *)&udpfrom, &udpfromlen);
int e = WSAGetLastError();
if (n > 0 && e == 0)
decode_recv(buffer, n);
}
}
void useage()
{
printf("******************************************\n");
printf("SQLPing\n");
printf("\t Written by Refdom\n");
printf("\t Email: refdom@263.net\n");
printf("Useage: sqlping.exe target_ip \n");
printf("*******************************************\n");
}
int main(int argc, char* argv[])
{
WSADATA WSAData;
SOCKET sock;
SOCKADDR_IN addr_in;
char buf[5]={'\x02'};
HANDLE listener;
useage();
if (argc<2)
{
return false;
}
if (WSAStartup(MAKEWORD(2,0),&WSAData)!=0)
{
printf("WSAStartup error.Error:%d\n",WSAGetLastError());
return false;
}
if ((sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP))==INVALID_SOCKET)
{
printf("Socket failed.Error:%d\n",WSAGetLastError());
return false;
}
addr_in.sin_family=AF_INET;
addr_in.sin_port=htons(1434);
addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);
const int SNDBUF = 0;
const int TCPNODELAY = true;
const int BROADCAST = true;
if (setsockopt(sock, SOL_SOCKET, SO_SNDBUF, (const char*)&SNDBUF, sizeof(SNDBUF))==SOCKET_ERROR)
{
printf("Set SO_SNDBUF failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, TCP_NODELAY, (const char*)&TCPNODELAY, sizeof(TCPNODELAY))==SOCKET_ERROR)
{
printf("Set TCP_NODELAY failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, SO_BROADCAST, (const char*)&BROADCAST, sizeof(BROADCAST))==SOCKET_ERROR)
{
printf("Set SO_BROADCAST failed.Error:%d",WSAGetLastError());
return false;
}
listener = (HANDLE) _beginthread(listen, 0, (void*)sock);
// e = sendto(s, "\08", 1, 0,(sockaddr*) &hostaddr, sizeof(hostaddr));
if (sendto(sock, buf, sizeof(buf), 0,(sockaddr*) &addr_in, sizeof(addr_in))==SOCKET_ERROR)
{
printf("Send failed.Error:%d\n",WSAGetLastError());
return false;
}
printf("Listening....\n\n");
// wait a little while for listener thread
WaitForSingleObject(listener, 5000);
WSACleanup();
printf("SQLPing Complete.\n");
return 0;
}
上面的程序只有探测作用,没有破坏性。呵呵
感谢Hectic给我提供的帮助。限于本人的水平,难免有错误之处,还请大家多多指正。如果谁有TDS协议(应用在SQL Server上的)的具体描述手册,请EMAIL给我,谢过了。EMAIL: refdom@263.net
分享到:
相关推荐
在IT行业中,数据库管理系统(DBMS)...通过学习上述知识点,你可以构建坚实的基础,进一步探索MS SQL Server的高级特性,如分区、复制、数据库镜像、服务 Broker等。不断实践和学习,你将成为一名出色的数据库管理员。
在本篇文章中,我们将深入探讨SQL Server查询分析器的功能、用途及其在数据库管理中的重要性。 **1. SQL Server查询分析器的基本功能** - **SQL语句编辑和执行**:用户可以在查询分析器中输入SQL语句,包括SELECT...
总的来说,"MS SQL Server简明教程"将引导初学者逐步探索SQL Server 2005的世界,从基本概念到实际操作,再到高级技术,帮助构建坚实的数据库管理基础。通过深入学习和实践,你可以掌握这个强大数据库系统的精髓。
《SQL Server日志探索:Log Explore 4.2——数据恢复的得力助手》 在IT行业中,数据安全是至关重要的。有时,由于误操作或系统故障,我们可能会失去宝贵的数据库信息。在这种情况下,数据恢复工具显得尤为重要。...
《Microsoft SQl Server 2005技术内幕:存储引擎》是Inside Microsoft SQL Server 2000的作者Kalen Delaney的又一...您将跟随一位广受欢迎的作家同时也是SQL Server资深专家一起深入探索SQL Server存储引擎的技术内幕。
通过对这些示例数据库的学习,开发者和数据库管理员可以深入了解SQL Server 2005的功能,并在实际项目中应用这些知识,解决各种业务问题。无论是初学者还是经验丰富的专业人士,都能从中获益匪浅。
为此,本文针对“SQL Server 2000”课程的教学改革进行探索,提出了一系列创新的教学模式和方法,并对教学计划、内容和方法进行了详细的改革方案设计,旨在激发学生的学习热情,提高实践能力,从而更好地适应社会和...
首先,针对SQL Server 2005的远程连接问题,有几点需要注意。默认情况下,SQL Server可能不允许远程连接。为了启用远程访问,你需要通过配置工具调整设置。例如,你需要启用TCP/IP和命名管道,并确保SQL Server ...
无论是对数据库一无所知的新手,还是熟悉桌面级数据库如MS Access,甚至是具有服务器级数据库背景(如Oracle、DB2、Sybase等)的学习者,都能从本书中获得快速上手SQL Server所需的知识。 本书适用于SQL Server ...
- **注意**:MS Access 和 SQL Server 不强制要求分号。 ##### 3. SQL DML与DDL - **DML (Data Manipulation Language)**:用于数据的操作。 - `SELECT`:获取数据。 - `UPDATE`:更新数据。 - `DELETE`:删除...
"driver={SQLServer};Server=127.0.0.1;DATABASE=Northwind;UID=sa;PWD=sa", "", "", adModeUnknown ); // 如果连接成功,显示消息框 if (SUCCEEDED(Hr)) { MessageBox("连接成功"); } } } catch (_...
2. **数据库类型探测**:通过特殊的SQL语法特性来判断数据库类型,例如针对MS SQL Server可以使用`';and user>0`来初步判断。 #### 四、深入SQL注入 一旦确认了存在注入漏洞,接下来就可以进一步探索数据库的具体...
6. 故障排除:提供解决SQL Server常见问题的技巧和方法,帮助用户快速定位并解决问题。 这个压缩包中的学习资料可能包括电子书、练习题库、实战模拟和案例研究,以多元化的形式帮助用户巩固理论知识,并提升实践...
《AdventureWorks2012:探索MS SQL Server 2012数据库实例》 AdventureWorks2012是一个广泛使用的数据库示例,由Microsoft为SQL Server 2012设计,用于展示各种业务场景的数据存储和查询功能。这个数据库包含了制造...
掌握SQL的基本概念和语句是数据库管理的基础,随着学习深入,还可以探索更复杂的查询、联接、子查询、聚合函数以及事务处理等高级特性。SQL的掌握程度直接影响到在工作中处理数据的效率和质量,因此,它是任何数据...
在实验过程中,学生使用的是MS SQL SERVER,这是一种广泛应用的关系型数据库管理系统,支持多种数据库操作和管理功能。操作系统环境为Windows 2000/XP,这为实验提供了稳定的运行平台。实验报告的提交方式为PDF格式...
《Informix SQL语句查询器(v1.0)——便捷高效的数据探索工具》 Informix SQL语句查询器是一款专为Informix数据库设计的查询工具,版本v1.0提供了强大的功能,旨在简化PHP开发中的数据库操作,使代码更加精炼高效。...
"小茶叶新闻信息系统"是一个基于ASP(Active Server Pages)技术和MS SQL Server 2000数据库的新闻发布系统。这个系统的主要功能是为用户提供一个在线发布、管理和浏览新闻的平台。ASP是一种微软公司开发的服务器端...