深入探索MS SQL Server 2000网络连接的安全问题
来源:百度文库 编辑:神马文学网 时间:2024/04/28 23:07:23
创建时间:2001-11-13
文章属性:原创
文章来源:refdom
文章提交:refdom (refdom_at_263.net)
作者:refdom (refdom@263.net)
下面我们要说的,并不是SQL Server存在的漏洞,而只是一些安全缺陷,存在一些问题,当然这些问题是SQL Server一产生的时候就存在的。
1、MS SQL Server的密码明文传输缺陷
很倒霉,我没有在微软发布SQL Server的时候做下面的分析。当我吃惊地发现SQL Server竟然是使用明文进行密码传输的时候,我就马上去查阅是否有这些资料。可惜已经早早有人提出能够用sniffer获取SQL Server的密码了。不过,既然微软这么大胆,我们还是去看看,分析分析这个缺陷。
当然,SQL Server的连接过程还是先进行TCP连接的三次握手,同服务器建立连接过后,然后进行TDS(tabular data stream)协议的数据交流,可惜的是我一直没有找到TDS协议的具体描述,只有一些片段,所以,都只能一点点地对着数据报分析。谁有TDS协议(SQL Sevrer)的具体描述一定送我一份哦。
直接到login包吧,你会发现,你的用户名完全是明文的,而密码还不是。当你改变密码的时候,你可以看出,相同字符的编码是一样的,密码字符之间用一个相同的字符作为分隔“a5”。呵呵。所以,最傻的办法就是我做的这样,一个字符一个字符地改变密码,然后得到所有字符的对应编码(我不会解密)。
我使用的是SQL Server 2000 。我这里列举一部分得到的对应编码。大家可以很容易得到完整的字符编码。
“a”——b3 “A”——b1
“b”——83 “B”——81
“c”——93 “C”——91
“d”——e3 “D”——e1
“e”——f3 “E”——f1
等等。
对了,在SQL Server中不支持用 ‘、" 等等符号作为密码,如果你在用这些字符作为密码的话,那就糟糕了,你永远也登陆不上了,除非更改密码。
在TDS数据报的头中规定了一个字节来表示数据报类型,我探测到的是0x10,而我得到的资料说是用0x02来表示Login的数据报,可能是MS SQL Server在协议上有一些改动,因为Sybase也是使用的TDS协议的,那么Sybase可能也是使用的明文传输吧,我手里没有Sybase。可惜没有TDS协议的完整描述,所以,我也偷懒没有写出专门获得SQL Server帐号和密码的sniffer程序,谁能给我TDS协议的详细描述,请email: refdom@263.net。
不过MS对SQL Server的传输还是提供加密办法的,你可以使用SSL来加密。于是我也试了试,可以在实例属性的网络配置里面选择强制协议加密,然后要求你重新启动SQL Server,呵呵,然后呢,你启动起来了么?哈哈,我可是吃了亏的。因为没有SSL证书,所以,你一启动就错误,事件日志中说明是没有提供有效的证书。重新安装吧。该死的MS也不在我选择的时候提醒一下。
嗅探得到数据库帐号意味着什么?如果能够得到SA帐号呢?哈哈,有兴趣可以看看我前些天写的《从IIS转到SQL数据库安全》。
2、明文的数据传输缺陷
如果没有使用加密的协议的话,那么整个数据库的网络数据都是没有加密的,而且是明文传输。无论是从客户端发送命令还是从服务器端得到结果,都是明文传输的。看来,如果你用加密的协议,微软是不会为你做任何安全防护的。我想,目前国内使用的SQL Server数据库差不多都是没有使用SSL来加密,看来在网络上能得到不少东西。
3、神秘的1434端口和服务器信息明文传输缺陷
对于SQL Server2000来说,打开SQL Server客户端准备连接,当拉开服务器列表的时候,整个局域网所有的SQL Server服务器都被列出来了。于是我发现,从我自己的机器(192.168.0.1)上从1434端口广播(192.168.0.255)了这个UDP包,然后,整个局域网中的SQL Server服务器都开始响应这个UDP数据包,这时,我的客户端能够得到所有服务器信息。
这就是客户端进行连接的过程:当客户端连接到服务器时,应用程序请求连接远端计算机,Dbnetlib.dll 将打开到连接中所指定的计算机网络名上的 UDP 端口 1434 的连接。所有运行 SQL Server 2000 的计算机都监听此端口。当一个客户端 Dbnetlib.dll 连接到该端口时,服务器将返回一个监听服务器上运行的所有实例的数据包。对于每个实例,该数据包报告该实例正在监听的服务器 Net-Library 和网络地址。应用程序计算机上的 Dbnetlib.dll 收到该数据包后,选择在应用程序计算机和 SQL Server 实例上都启用的 Net-Library,然后连接为此数据包中的 Net-Library 列出的地址。
通过1434端口传输特定的UDP数据包,然后服务器开始回应,所有这些都是明文传输的,我们可以很容易探测一个IP地址的1434端口,获得该IP地址上运行的SQL Server的相关信息。这些信息包括:主机名称、实例名称、版本、管道名称以及使用的端口等。这个端口是微软自己使用,而且不象默认的1433端口那样可以改变,1434是不能改变的,呵呵,那么我们为了安全,去改变这个1433端口能起什么作用呢?
我们可以来捕获这些数据报,可以发现,通过1434端口的数据非常简单,客户端仅仅简单地发送了02一个字节出去。不过多次捕获,发现有时候发送的是 03。于是我就用下面程序一个一个测试,发送其他数据。不过最后只有02、03、04有回应。看来这三种字节用来做SQL Server探测的。而且你可以发送 02 00 00,也可以发送 02 00 00 00 00等等都能够得到SQL Server的回应,但是发送 02 03就不可以了。
下面是一个利用1434进行探测的程序,可以探测单个IP,也可以用来探测整个局域网的数据库服务器。
////////////////////////////////////////////////////////////
//
// SQLPing by refdom
//
// Author: refdom. From Chip Andrews
// Email: refdom@263.net
//
////////////////////////////////////////////////////////////
#include "stdafx.h"
#include
#include
#include
void decode_recv (char *buf, int size)
{
int index;
int counter = 0;
for (index = 3; index < size; index++)
{
if ((buf[index] == ‘;‘) && (buf[index+1] != ‘;‘))
{
//Look for a semi-colon and check for end of record (;;)
if ((counter % 2) == 0)
{
printf(":");
counter++;
}
else
{
printf("\n");
counter++;
}
}
else
{
if (buf[index] != ‘;‘)
{
// If an end of record (;;), then double-space for next instance
printf("%c",buf[index]);
}
else
{
printf("\n");
}
}
}
printf("\n");
}
void listen (void* v)
{
static const unsigned int buffersize = 64000;
static char buffer [buffersize];
SOCKET s = (SOCKET)v;
for (;;)
{
struct sockaddr_in udpfrom;
int udpfromlen = sizeof(udpfrom);
int n = recvfrom(s, buffer, sizeof(buffer), 0, (struct sockaddr *)&udpfrom, &udpfromlen);
int e = WSAGetLastError();
if (n > 0 && e == 0)
decode_recv(buffer, n);
}
}
void useage()
{
printf("******************************************\n");
printf("SQLPing\n");
printf("\t Written by Refdom\n");
printf("\t Email: refdom@263.net\n");
printf("Useage: sqlping.exe target_ip \n");
printf("*******************************************\n");
}
int main(int argc, char* argv[])
{
WSADATA WSAData;
SOCKET sock;
SOCKADDR_IN addr_in;
char buf[5]={‘\x02‘};
HANDLE listener;
useage();
if (argc<2)
{
return false;
}
if (WSAStartup(MAKEWORD(2,0),&WSAData)!=0)
{
printf("WSAStartup error.Error:%d\n",WSAGetLastError());
return false;
}
if ((sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP))==INVALID_SOCKET)
{
printf("Socket failed.Error:%d\n",WSAGetLastError());
return false;
}
addr_in.sin_family=AF_INET;
addr_in.sin_port=htons(1434);
addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);
const int SNDBUF = 0;
const int TCPNODELAY = true;
const int BROADCAST = true;
if (setsockopt(sock, SOL_SOCKET, SO_SNDBUF, (const char*)&SNDBUF, sizeof(SNDBUF))==SOCKET_ERROR)
{
printf("Set SO_SNDBUF failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, TCP_NODELAY, (const char*)&TCPNODELAY, sizeof(TCPNODELAY))==SOCKET_ERROR)
{
printf("Set TCP_NODELAY failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, SO_BROADCAST, (const char*)&BROADCAST, sizeof(BROADCAST))==SOCKET_ERROR)
{
printf("Set SO_BROADCAST failed.Error:%d",WSAGetLastError());
return false;
}
listener = (HANDLE) _beginthread(listen, 0, (void*)sock);
// e = sendto(s, "\08", 1, 0,(sockaddr*) &hostaddr, sizeof(hostaddr));
if (sendto(sock, buf, sizeof(buf), 0,(sockaddr*) &addr_in, sizeof(addr_in))==SOCKET_ERROR)
{
printf("Send failed.Error:%d\n",WSAGetLastError());
return false;
}
printf("Listening....\n\n");
// wait a little while for listener thread
WaitForSingleObject(listener, 5000);
WSACleanup();
printf("SQLPing Complete.\n");
return 0;
}
上面的程序只有探测作用,没有破坏性。呵呵
感谢Hectic给我提供的帮助。限于本人的水平,难免有错误之处,还请大家多多指正。如果谁有TDS协议(应用在SQL Server上的)的具体描述手册,请EMAIL给我,谢过了。EMAIL: refdom@263.net
文章属性:原创
文章来源:refdom
文章提交:refdom (refdom_at_263.net)
作者:refdom (refdom@263.net)
下面我们要说的,并不是SQL Server存在的漏洞,而只是一些安全缺陷,存在一些问题,当然这些问题是SQL Server一产生的时候就存在的。
1、MS SQL Server的密码明文传输缺陷
很倒霉,我没有在微软发布SQL Server的时候做下面的分析。当我吃惊地发现SQL Server竟然是使用明文进行密码传输的时候,我就马上去查阅是否有这些资料。可惜已经早早有人提出能够用sniffer获取SQL Server的密码了。不过,既然微软这么大胆,我们还是去看看,分析分析这个缺陷。
当然,SQL Server的连接过程还是先进行TCP连接的三次握手,同服务器建立连接过后,然后进行TDS(tabular data stream)协议的数据交流,可惜的是我一直没有找到TDS协议的具体描述,只有一些片段,所以,都只能一点点地对着数据报分析。谁有TDS协议(SQL Sevrer)的具体描述一定送我一份哦。
直接到login包吧,你会发现,你的用户名完全是明文的,而密码还不是。当你改变密码的时候,你可以看出,相同字符的编码是一样的,密码字符之间用一个相同的字符作为分隔“a5”。呵呵。所以,最傻的办法就是我做的这样,一个字符一个字符地改变密码,然后得到所有字符的对应编码(我不会解密)。
我使用的是SQL Server 2000 。我这里列举一部分得到的对应编码。大家可以很容易得到完整的字符编码。
“a”——b3 “A”——b1
“b”——83 “B”——81
“c”——93 “C”——91
“d”——e3 “D”——e1
“e”——f3 “E”——f1
等等。
对了,在SQL Server中不支持用 ‘、" 等等符号作为密码,如果你在用这些字符作为密码的话,那就糟糕了,你永远也登陆不上了,除非更改密码。
在TDS数据报的头中规定了一个字节来表示数据报类型,我探测到的是0x10,而我得到的资料说是用0x02来表示Login的数据报,可能是MS SQL Server在协议上有一些改动,因为Sybase也是使用的TDS协议的,那么Sybase可能也是使用的明文传输吧,我手里没有Sybase。可惜没有TDS协议的完整描述,所以,我也偷懒没有写出专门获得SQL Server帐号和密码的sniffer程序,谁能给我TDS协议的详细描述,请email: refdom@263.net。
不过MS对SQL Server的传输还是提供加密办法的,你可以使用SSL来加密。于是我也试了试,可以在实例属性的网络配置里面选择强制协议加密,然后要求你重新启动SQL Server,呵呵,然后呢,你启动起来了么?哈哈,我可是吃了亏的。因为没有SSL证书,所以,你一启动就错误,事件日志中说明是没有提供有效的证书。重新安装吧。该死的MS也不在我选择的时候提醒一下。
嗅探得到数据库帐号意味着什么?如果能够得到SA帐号呢?哈哈,有兴趣可以看看我前些天写的《从IIS转到SQL数据库安全》。
2、明文的数据传输缺陷
如果没有使用加密的协议的话,那么整个数据库的网络数据都是没有加密的,而且是明文传输。无论是从客户端发送命令还是从服务器端得到结果,都是明文传输的。看来,如果你用加密的协议,微软是不会为你做任何安全防护的。我想,目前国内使用的SQL Server数据库差不多都是没有使用SSL来加密,看来在网络上能得到不少东西。
3、神秘的1434端口和服务器信息明文传输缺陷
对于SQL Server2000来说,打开SQL Server客户端准备连接,当拉开服务器列表的时候,整个局域网所有的SQL Server服务器都被列出来了。于是我发现,从我自己的机器(192.168.0.1)上从1434端口广播(192.168.0.255)了这个UDP包,然后,整个局域网中的SQL Server服务器都开始响应这个UDP数据包,这时,我的客户端能够得到所有服务器信息。
这就是客户端进行连接的过程:当客户端连接到服务器时,应用程序请求连接远端计算机,Dbnetlib.dll 将打开到连接中所指定的计算机网络名上的 UDP 端口 1434 的连接。所有运行 SQL Server 2000 的计算机都监听此端口。当一个客户端 Dbnetlib.dll 连接到该端口时,服务器将返回一个监听服务器上运行的所有实例的数据包。对于每个实例,该数据包报告该实例正在监听的服务器 Net-Library 和网络地址。应用程序计算机上的 Dbnetlib.dll 收到该数据包后,选择在应用程序计算机和 SQL Server 实例上都启用的 Net-Library,然后连接为此数据包中的 Net-Library 列出的地址。
通过1434端口传输特定的UDP数据包,然后服务器开始回应,所有这些都是明文传输的,我们可以很容易探测一个IP地址的1434端口,获得该IP地址上运行的SQL Server的相关信息。这些信息包括:主机名称、实例名称、版本、管道名称以及使用的端口等。这个端口是微软自己使用,而且不象默认的1433端口那样可以改变,1434是不能改变的,呵呵,那么我们为了安全,去改变这个1433端口能起什么作用呢?
我们可以来捕获这些数据报,可以发现,通过1434端口的数据非常简单,客户端仅仅简单地发送了02一个字节出去。不过多次捕获,发现有时候发送的是 03。于是我就用下面程序一个一个测试,发送其他数据。不过最后只有02、03、04有回应。看来这三种字节用来做SQL Server探测的。而且你可以发送 02 00 00,也可以发送 02 00 00 00 00等等都能够得到SQL Server的回应,但是发送 02 03就不可以了。
下面是一个利用1434进行探测的程序,可以探测单个IP,也可以用来探测整个局域网的数据库服务器。
////////////////////////////////////////////////////////////
//
// SQLPing by refdom
//
// Author: refdom. From Chip Andrews
// Email: refdom@263.net
//
////////////////////////////////////////////////////////////
#include "stdafx.h"
#include
#include
#include
void decode_recv (char *buf, int size)
{
int index;
int counter = 0;
for (index = 3; index < size; index++)
{
if ((buf[index] == ‘;‘) && (buf[index+1] != ‘;‘))
{
//Look for a semi-colon and check for end of record (;;)
if ((counter % 2) == 0)
{
printf(":");
counter++;
}
else
{
printf("\n");
counter++;
}
}
else
{
if (buf[index] != ‘;‘)
{
// If an end of record (;;), then double-space for next instance
printf("%c",buf[index]);
}
else
{
printf("\n");
}
}
}
printf("\n");
}
void listen (void* v)
{
static const unsigned int buffersize = 64000;
static char buffer [buffersize];
SOCKET s = (SOCKET)v;
for (;;)
{
struct sockaddr_in udpfrom;
int udpfromlen = sizeof(udpfrom);
int n = recvfrom(s, buffer, sizeof(buffer), 0, (struct sockaddr *)&udpfrom, &udpfromlen);
int e = WSAGetLastError();
if (n > 0 && e == 0)
decode_recv(buffer, n);
}
}
void useage()
{
printf("******************************************\n");
printf("SQLPing\n");
printf("\t Written by Refdom\n");
printf("\t Email: refdom@263.net\n");
printf("Useage: sqlping.exe target_ip \n");
printf("*******************************************\n");
}
int main(int argc, char* argv[])
{
WSADATA WSAData;
SOCKET sock;
SOCKADDR_IN addr_in;
char buf[5]={‘\x02‘};
HANDLE listener;
useage();
if (argc<2)
{
return false;
}
if (WSAStartup(MAKEWORD(2,0),&WSAData)!=0)
{
printf("WSAStartup error.Error:%d\n",WSAGetLastError());
return false;
}
if ((sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP))==INVALID_SOCKET)
{
printf("Socket failed.Error:%d\n",WSAGetLastError());
return false;
}
addr_in.sin_family=AF_INET;
addr_in.sin_port=htons(1434);
addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);
const int SNDBUF = 0;
const int TCPNODELAY = true;
const int BROADCAST = true;
if (setsockopt(sock, SOL_SOCKET, SO_SNDBUF, (const char*)&SNDBUF, sizeof(SNDBUF))==SOCKET_ERROR)
{
printf("Set SO_SNDBUF failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, TCP_NODELAY, (const char*)&TCPNODELAY, sizeof(TCPNODELAY))==SOCKET_ERROR)
{
printf("Set TCP_NODELAY failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, SO_BROADCAST, (const char*)&BROADCAST, sizeof(BROADCAST))==SOCKET_ERROR)
{
printf("Set SO_BROADCAST failed.Error:%d",WSAGetLastError());
return false;
}
listener = (HANDLE) _beginthread(listen, 0, (void*)sock);
// e = sendto(s, "\08", 1, 0,(sockaddr*) &hostaddr, sizeof(hostaddr));
if (sendto(sock, buf, sizeof(buf), 0,(sockaddr*) &addr_in, sizeof(addr_in))==SOCKET_ERROR)
{
printf("Send failed.Error:%d\n",WSAGetLastError());
return false;
}
printf("Listening....\n\n");
// wait a little while for listener thread
WaitForSingleObject(listener, 5000);
WSACleanup();
printf("SQLPing Complete.\n");
return 0;
}
上面的程序只有探测作用,没有破坏性。呵呵
感谢Hectic给我提供的帮助。限于本人的水平,难免有错误之处,还请大家多多指正。如果谁有TDS协议(应用在SQL Server上的)的具体描述手册,请EMAIL给我,谢过了。EMAIL: refdom@263.net
深入探索MS SQL Server 2000网络连接的安全问题
SQL Server 2000的远程连接问题 MS-SQL Server / 应用实例 -...
如何解决 SQL Server 2000 中的连接问题-MS SQL-数据库,技术教程-E...
深入SQL SERVER 2000的内存管理机制(一)
深入SQL SERVER 2000的内存管理机制(二)
深入SQL SERVER 2000的内存管理机制(三)
深入SQL SERVER 2000的内存管理机制(二)
查看MS SQL SERVER版本
远程连接sql server 2000服务器的解决方案
MySQL数据库与MS SQL Server不同之处的表现
SQL Server 2000+ MS WIN2003群集服务配置
SQL Server 2000+ MS WIN2003群集服务配置
SQL Server 2000 MS WIN2003群集服务配置
JSP连接SQL Server 2000系统配置
JSP连接SQL Server 2000系统配置
深入分析SQL Server的数据转换服务
打开sql server 2000的1433端口和进行远程连接设置
怎样才能限制SQL Server只能让指定的机器连接
SQL SERVER 2005无法远程连接的问题
SQL server 2005不能连接到服务器的解决方法
连接池与 Microsoft SQL Server 2000 Analysis Servi...
如何快速的成为一个合格的 DBA? - MS-SQL Server / 基础类
2010 最牛B的个性签名 - MS-SQL Server / 非技术版
做人必须保留的7张底牌 - MS-SQL Server / 非技术版