- 在线时间
- 0 小时
- 最后登录
- 2007-9-23
- 注册时间
- 2004-9-10
- 听众数
- 3
- 收听数
- 0
- 能力
- 0 分
- 体力
- 9975 点
- 威望
- 7 点
- 阅读权限
- 150
- 积分
- 4048
- 相册
- 0
- 日志
- 0
- 记录
- 0
- 帖子
- 1893
- 主题
- 823
- 精华
- 2
- 分享
- 0
- 好友
- 0

我的地盘我做主
该用户从未签到
 |
SQL Server 7.0 sa帐号密码攻击法
0 ^/ W/ G$ f8 t4 i( d$ h" r' @/ m9 P. Z# D, c( {3 F
影响版本:
! b6 ]2 D4 w# |1 E; a7 ESQL Server 7.0 $ z) R; y+ R6 I' _; z- k
; |+ w8 j. q$ m7 d% t$ ^4 p# r漏洞描述 w. A9 E# T4 w$ P
使用一个很简单的策略,就可以随意的改变SQL 7.0服务器的SA(system administrator)的密码.MS SQL Server 7.0在master.mdf使用sysxlogins表对象保存登陆信息.它的password字段的类型是varbinary(256)。执行这样的一个查询"select name, convert(varchar(256), password) from sysxlogins"将返回和密码等价的字符串。有趣的是密码是被保存为16个字节的数值。所以如果密码少与16个字节也产生一个16个字节长的加密字符串。这个固定长度的密码被保存在sysxlogins表中的一个固定位置。.如果密码多与16个字符,那么前16个字符还是保存在同样的位置。所以我们只要这样一来做就可以改变这个SA管理帐号的密码:, ^3 R2 t: H0 e2 v2 Y
a) 找到这个适当的加密字符; E: e, h; ]2 D0 C; t$ u' b
b) 找到在sysxlogins表中密码的偏移位置
6 q; \4 |& i1 C8 w% V. K. wc) 定位到记录sa
7 a4 F) U! f" Gd) 替换password字段( C$ y3 X/ z* T" f. v; [
( h& }1 v2 H& m& ~+ ~ E证实过程
; D, y+ E, q3 O% [要成功的改变密码,SQL Server应该要在修改其间停止运行,并且你必须要拥有对SQL数据目录的读写访问权限。这的确限制了这个安全漏洞,但是使用其它的技术可以绕过这个限制。
' T, j+ _: S# g' J合理运用这个方法,你也完全可以把它当成一个管理工具,一旦当你的SQL Server的SA密码丢失时,可以恢复数据库使用。$ t6 _! F2 Z+ o1 x( w5 B8 J
5 q& n5 I5 U& L. T; X7 z" e8 c防范方法
2 K8 f! M- |6 p" ^/ O" P6 [由于这个漏洞必须是在SQL Server停止服务的时候才能够进行,最简单的办法就是严格保护你的系统中对DATA和BACKUP目录文件的访问权限。让服务器上的服务启动权限只有管理员帐号才能够拥有。但是有一种SQL Crash攻击可以让SQL Server停止服务。简要信息如下:: {" O2 |7 p9 v, c: z) P
这种攻击方法被称为:“Malformed TDS Packet Header”漏洞。如果一个特定格式的TDS数据包被发送给SQL server,将导致服务器Crash.这种攻击将导致不能够访问服务器上的数据,但是它也不能够让攻击者自己控制这台服务器。而只要重新启动SQL Server就能够解决这个问题。但是唯一的缺陷是,如果受攻击的机器开放了1433端口,允许远程访问SQL Server数据库的话,有恶意的人就可以使用上面提到的那个方法修改SA帐号的密码。: e* N( A) d8 K4 J7 G
( l" t d9 D% d" T* v6 U+ {) A解决方案:
" z6 ~* {4 F. t) D9 R. g# K1。首先下载最新的补丁解决“Malformed TDS Packet Header”漏洞。这有这个漏洞的详细描述:
4 y% B* H+ t8 h- g2 j4 q+ G- Chttp://www.microsoft.com/technet/security/bulletin/fq99-059.asp
# L# K7 s& H& e2。尽量使用SQL SERVER的第二种登陆方式:Windows NT Authentication 方式下面是一篇详细介绍有关SQL Server安全设置的文章。' W) Y8 W' i* K$ } a2 N# X
http://www.microsoft.com/sql/DeployAdmin/Security.doc |
zan
|