創(chuàng)建時間:2001-11-13
文章屬性:原創(chuàng)
文章來源:refdom
文章提交:refdom (refdom_at_263.net)
作者:refdom (refdom@263.net)
下面我們要說的�����,并不是SQL Server存在的漏洞�����,而只是一些安全缺陷����,存在一些問題�,當然這些問題是SQL Server一產(chǎn)生的時候就存在的。
1��、MS SQL Server的密碼明文傳輸缺陷
很倒霉,我沒有在微軟發(fā)布SQL Server的時候做下面的分析����。當我吃驚地發(fā)現(xiàn)SQL Server竟然是使用明文進行密碼傳輸?shù)臅r候,我就馬上去查閱是否有這些資料�����?�?上б呀?jīng)早早有人提出能夠用sniffer獲取SQL Server的密碼了����。不過,既然微軟這么大膽�,我們還是去看看,分析分析這個缺陷����。
當然,SQL Server的連接過程還是先進行TCP連接的三次握手�����,同服務器建立連接過后���,然后進行TDS(tabular data stream)協(xié)議的數(shù)據(jù)交流�����,可惜的是我一直沒有找到TDS協(xié)議的具體描述��,只有一些片段���,所以,都只能一點點地對著數(shù)據(jù)報分析�。誰有TDS協(xié)議(SQL Sevrer)的具體描述一定送我一份哦。
直接到login包吧���,你會發(fā)現(xiàn)�����,你的用戶名完全是明文的��,而密碼還不是��。當你改變密碼的時候��,你可以看出����,相同字符的編碼是一樣的,密碼字符之間用一個相同的字符作為分隔“a5”����。呵呵。所以����,最傻的辦法就是我做的這樣,一個字符一個字符地改變密碼�,然后得到所有字符的對應編碼(我不會解密)。
我使用的是SQL Server 2000 ����。我這里列舉一部分得到的對應編碼。大家可以很容易得到完整的字符編碼��。
“a”——b3 “A”——b1
“b”——83 “B”——81
“c”——93 “C”——91
“d”——e3 “D”——e1
“e”——f3 “E”——f1
等等����。
對了,在SQL Server中不支持用 ‘��、" 等等符號作為密碼,如果你在用這些字符作為密碼的話����,那就糟糕了��,你永遠也登陸不上了�����,除非更改密碼�����。
在TDS數(shù)據(jù)報的頭中規(guī)定了一個字節(jié)來表示數(shù)據(jù)報類型�,我探測到的是0x10,而我得到的資料說是用0x02來表示Login的數(shù)據(jù)報���,可能是MS SQL Server在協(xié)議上有一些改動����,因為Sybase也是使用的TDS協(xié)議的����,那么Sybase可能也是使用的明文傳輸吧,我手里沒有Sybase?���?上]有TDS協(xié)議的完整描述,所以��,我也偷懶沒有寫出專門獲得SQL Server賬號和密碼的sniffer程序����,誰能給我TDS協(xié)議的詳細描述,請email: refdom@263.net�����。
不過MS對SQL Server的傳輸還是提供加密辦法的����,你可以使用SSL來加密。于是我也試了試�����,可以在實例屬性的網(wǎng)絡配置里面選擇強制協(xié)議加密�,然后要求你重新啟動SQL Server,呵呵�,然后呢�����,你啟動起來了么�����?哈哈����,我可是吃了虧的�����。因為沒有SSL證書�,所以��,你一啟動就錯誤���,事件日志中說明是沒有提供有效的證書�。重新安裝吧�����。該死的MS也不在我選擇的時候提醒一下。
嗅探得到數(shù)據(jù)庫賬號意味著什么�����?如果能夠得到SA賬號呢����?哈哈,有興趣可以看看我前些天寫的《從IIS轉(zhuǎn)到SQL數(shù)據(jù)庫安全》��。
2��、明文的數(shù)據(jù)傳輸缺陷
如果沒有使用加密的協(xié)議的話���,那么整個數(shù)據(jù)庫的網(wǎng)絡數(shù)據(jù)都是沒有加密的���,而且是明文傳輸。無論是從客戶端發(fā)送命令還是從服務器端得到結(jié)果����,都是明文傳輸?shù)摹����?磥?�,如果你用加密的協(xié)議�,微軟是不會為你做任何安全防護的����。我想,目前國內(nèi)使用的SQL Server數(shù)據(jù)庫差不多都是沒有使用SSL來加密���,看來在網(wǎng)絡上能得到不少東西�����。
3、神秘的1434端口和服務器信息明文傳輸缺陷
對于SQL Server2000來說��,打開SQL Server客戶端準備連接���,當拉開服務器列表的時候���,整個局域網(wǎng)所有的SQL Server服務器都被列出來了。于是我發(fā)現(xiàn)��,從我自己的機器(192.168.0.1)上從1434端口廣播(192.168.0.255)了這個UDP包���,然后���,整個局域網(wǎng)中的SQL Server服務器都開始響應這個UDP數(shù)據(jù)包����,這時�����,我的客戶端能夠得到所有服務器信息���。
這就是客戶端進行連接的過程:當客戶端連接到服務器時��,應用程序請求連接遠端計算機��,Dbnetlib.dll 將打開到連接中所指定的計算機網(wǎng)絡名上的 UDP 端口 1434 的連接�����。所有運行 SQL Server 2000 的計算機都監(jiān)聽此端口�。當一個客戶端 Dbnetlib.dll 連接到該端口時�,服務器將返回一個監(jiān)聽服務器上運行的所有實例的數(shù)據(jù)包。對于每個實例����,該數(shù)據(jù)包報告該實例正在監(jiān)聽的服務器 Net-Library 和網(wǎng)絡地址���。應用程序計算機上的 Dbnetlib.dll 收到該數(shù)據(jù)包后,選擇在應用程序計算機和 SQL Server 實例上都啟用的 Net-Library���,然后連接為此數(shù)據(jù)包中的 Net-Library 列出的地址��。
通過1434端口傳輸特定的UDP數(shù)據(jù)包���,然后服務器開始回應,所有這些都是明文傳輸?shù)?��,我們可以很容易探測一個IP地址的1434端口���,獲得該IP地址上運行的SQL Server的相關(guān)信息���。這些信息包括:主機名稱��、實例名稱����、版本、管道名稱以及使用的端口等���。這個端口是微軟自己使用�,而且不象默認的1433端口那樣可以改變���,1434是不能改變的���,呵呵,那么我們?yōu)榱税踩?����,去改變這個1433端口能起什么作用呢���?
我們可以來捕獲這些數(shù)據(jù)報�����,可以發(fā)現(xiàn)���,通過1434端口的數(shù)據(jù)非常簡單,客戶端僅僅簡單地發(fā)送了02一個字節(jié)出去。不過多次捕獲����,發(fā)現(xiàn)有時候發(fā)送的是 03。于是我就用下面程序一個一個測試��,發(fā)送其他數(shù)據(jù)����。不過最后只有02、03�、04有回應??磥磉@三種字節(jié)用來做SQL Server探測的。而且你可以發(fā)送 02 00 00����,也可以發(fā)送 02 00 00 00 00等等都能夠得到SQL Server的回應,但是發(fā)送 02 03就不可以了���。
下面是一個利用1434進行探測的程序�����,可以探測單個IP,也可以用來探測整個局域網(wǎng)的數(shù)據(jù)庫服務器。
////////////////////////////////////////////////////////////
//
// SQLPing by refdom
//
// Author: refdom. From Chip Andrews
// Email: refdom@263.net
//
////////////////////////////////////////////////////////////
#include "stdafx.h"
#include <string.h>
#include <stdio.h>
#include <winsock2.h>
void decode_recv (char *buf, int size)
{
int index;
int counter = 0;
for (index = 3; index < size; index++)
{
if ((buf[index] == ‘;‘) && (buf[index+1] != ‘;‘))
{
//Look for a semi-colon and check for end of record (;;)
if ((counter % 2) == 0)
{
printf(":");
counter++;
}
else
{
printf("\n");
counter++;
}
}
else
{
if (buf[index] != ‘;‘)
{
// If an end of record (;;), then double-space for next instance
printf("%c",buf[index]);
}
else
{
printf("\n");
}
}
}
printf("\n");
}
void listen (void* v)
{
static const unsigned int buffersize = 64000;
static char buffer [buffersize];
SOCKET s = (SOCKET)v;
for (;;)
{
struct sockaddr_in udpfrom;
int udpfromlen = sizeof(udpfrom);
int n = recvfrom(s, buffer, sizeof(buffer), 0, (struct sockaddr *)&udpfrom, &udpfromlen);
int e = WSAGetLastError();
if (n > 0 && e == 0)
decode_recv(buffer, n);
}
}
void useage()
{
printf("******************************************\n");
printf("SQLPing\n");
printf("\t Written by Refdom\n");
printf("\t Email: refdom@263.net\n");
printf("Useage: sqlping.exe target_ip \n");
printf("*******************************************\n");
}
int main(int argc, char* argv[])
{
WSADATA WSAData;
SOCKET sock;
SOCKADDR_IN addr_in;
char buf[5]={‘\x02‘};
HANDLE listener;
useage();
if (argc<2)
{
return false;
}
if (WSAStartup(MAKEWORD(2,0),&WSAData)!=0)
{
printf("WSAStartup error.Error:%d\n",WSAGetLastError());
return false;
}
if ((sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP))==INVALID_SOCKET)
{
printf("Socket failed.Error:%d\n",WSAGetLastError());
return false;
}
addr_in.sin_family=AF_INET;
addr_in.sin_port=htons(1434);
addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);
const int SNDBUF = 0;
const int TCPNODELAY = true;
const int BROADCAST = true;
if (setsockopt(sock, SOL_SOCKET, SO_SNDBUF, (const char*)&SNDBUF, sizeof(SNDBUF))==SOCKET_ERROR)
{
printf("Set SO_SNDBUF failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, TCP_NODELAY, (const char*)&TCPNODELAY, sizeof(TCPNODELAY))==SOCKET_ERROR)
{
printf("Set TCP_NODELAY failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, SO_BROADCAST, (const char*)&BROADCAST, sizeof(BROADCAST))==SOCKET_ERROR)
{
printf("Set SO_BROADCAST failed.Error:%d",WSAGetLastError());
return false;
}
listener = (HANDLE) _beginthread(listen, 0, (void*)sock);
// e = sendto(s, "\08", 1, 0,(sockaddr*) &hostaddr, sizeof(hostaddr));
if (sendto(sock, buf, sizeof(buf), 0,(sockaddr*) &addr_in, sizeof(addr_in))==SOCKET_ERROR)
{
printf("Send failed.Error:%d\n",WSAGetLastError());
return false;
}
printf("Listening....\n\n");
// wait a little while for listener thread
WaitForSingleObject(listener, 5000);
WSACleanup();
printf("SQLPing Complete.\n");
return 0;
}
上面的程序只有探測作用����,沒有破壞性。呵呵
感謝Hectic給我提供的幫助��。限于本人的水平����,難免有錯誤之處,還請大家多多指正��。如果誰有TDS協(xié)議(應用在SQL Server上的)的具體描述手冊���,請EMAIL給我���,謝過了。EMAIL: refdom@263.net
|
