当前位置: 首页 > 图文教程 > 数据库 > MSSQL > 从两个方面讲解SQL Server口令的脆弱性

MSSQL
无数据库日志文件恢复数据库方法两则(一)
SQLServer编写存储过程小工具(一)
SQLServer编写存储过程小工具(二)
SQLServer编写存储过程小工具(三)
Eclipse+JBoss+MySQL开发环境设置
MYSQL使用简述
一些有用的sql语句实例
枚举SQLServer的实例
SQLServer应用程序中的高级SQL注入
SQL Server数据库超级管理员账号防护知识
讲解如何实现互联网上数据库的安全
SQL 2005数据库转到SQL 2000的步骤讲解
带你轻松接触数据库生成xml的两个方法
用MS SQL Reporting Services生成报表
保护SQL Server的十个步骤
关于SQL SERVER的一些安全问题
SQL Server 2008数据库中使用表值参数
SQL Server 2005中用存储过程实现搜索功能
MS SQL数据库置疑解决办法
SQL Server密码管理的六个危险判断

MSSQL 中的 从两个方面讲解SQL Server口令的脆弱性


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 149 ::
收藏到网摘: n/a

如果你细心跟踪一下SQL Server数据库服务器的登录过程,你会发现口令计算其实是非常脆弱的,SQL Server数据库的口令脆弱体现两方面:

1、网络登陆时候的口令加密算法

2、数据库存储的口令加密算法。

下面就分别讲述:

1、网络登陆时候的口令加密算法

SQL Server网络加密的口令一直都非常脆弱,网上有很多写出来的对照表,但是都没有具体的算法处理,实际上跟踪一下SQL Server的登陆过程,就很容易获取其解密的算法:好吧,我们还是演示一下汇编流程:

登录类型的TDS包跳转到4126a4处执行:

004DE72E:根据接收到的大小字段生成对应大小的缓冲区进行下一步的拷贝

004DE748从接收到的TDS BUF偏移8处拷贝出LOGIN的信息

004DE762:call sub_54E4D0:将新拷贝的缓冲压入进行参数检查的处理

依次处理TDS包中的信息,各个字段气候都应该有各个域的长度,偏移0X24处与长度进行比较。

下面这段汇编代码就是实现对网络加密密码解密的算法:

.text:0065C880 mov cl, [edi]

.text:0065C882 mov dl, cl

.text:0065C884 xor cl, 5

.text:0065C887 xor dl, 0AFh

.text:0065C88A shr dl, 4

.text:0065C88D shl cl, 4

.text:0065C890 or dl, cl

.text:0065C892 mov [edi], dl

.text:0065C894 inc edi

.text:0065C895 dec eax

.text:0065C896 jnz short loc_65C880

.text:0065C898 jmp loc_4DE7E6
 
很容易就将其换成为C代码,可以看出其加密及其简单,和明文没什么区别,大家可以在SNIFFER中嵌入这段代码对嗅叹到的TDS登陆包进行解密,其实0XA5不是特定的SQL Server密码字段的分界符号,只是由于加密算法会自动把ASC的双字节表示的0x0加密成0xa5而已,但是如果允许双字节口令,这个就不是判断其分界的主要原因了。

void sqlpasswd(char * enp,char* dnp)

{

int i;

unsigned char a1;

unsigned char a2;

for(i=0;i<128;i++)

{

if(enp[i]==0)

break;

a1 = enp[i]^5;

a1 = a1 << 4;

a2 = enp[i]^0xaf;

a2 = a2 >> 4;

dnp[i]=a1|a2;

}

dnp[i]=0;

dnp[i+1]=0;

wprintf(L"passwd:%s\n",(const wchar_t *)dnp);

}

2、数据库存储的口令加密算法

SQL Server的口令到数据库存储的加密方法,也是很让人诧异的。其过程如下:

在获得网络解密密码的口令以后在005F9D5A处call SQLSORT_14,实现一个转换为大写口令缓冲进行保存。

然后在004def6d处调用一个函数取出数据库中的加密的PASSWORD,其形式如下:

2个字节的头0x0100(固定)

4个字节的HASH加秘KEY

20个字节的HASH1

20个字节的HASH2

如我取出的一个例子:

fx:0x0100 1751857F DFDEC4FB618D8D18EBA5A27F615639F607

CD46BE DFDEC4FB618D8D18EBA5A27F615639F607CD46BE

固定 补充KEY HASH1 HASH2

口令是:123456
 
SQL首先用4个字节的HASH加秘KEY补上其两处口令的缓冲,一个为大写,一个为小写。然后其加密过程如下C函数:

CryptAcquireContextW(&hProv,NULL,

L("Microsoft Base Cryptographic Provider v1.0"),1,0xf0000000);

CryptCreateHash(hProv,0x8004,NULL,NULL,&hhash);

CryptCreateHash(hProv,0x8004,NULL,NULL,&hHash);

005F9DFE:

CryptHashData(hhash,passwdbuf,0x12,NULL);
 
passwdbuf是小写的passwd缓冲区,然后附加一个KEY,如上例子就是对

{'1','2''3''4''5''6',0x17,0x51,0x85,0x7F}
 
这样的一个字串进行HASH加密

CryptHashData(hHash,PASSWDBUF,0x12,NULL)
 
;PASSWDBUF是大写的passwd缓冲区,然后附加一个KEY 005F9E3E:

CryptGetHashParam(hhash,2,&passwdout,&outlen,0);
 
取出passwdbuf是小写的passwd的加密值

CryptGetHashParam(hHash,2,&PASSWDOUT,&OUTLEN,0);
 
取出passwdbuf是大写的passwd的加密值这两个相加就是真正的数据库中的PASSWORD加密字段.

为什么说以上方法是脆弱的呢?其实其真正的加密长度生成只有20个字节。

小写口令的HASH1+大写口令的HASH1拼接的40位HASH值的安全度还不如一个直接20位的HASH值来得安全。因为大家都知道这两个值的因果关系,

提供给了解密者更多的信息。

如因为其算法一样,如果HASH1=HASH2,就可以判断口令肯定是未使用字母,只使用了数字和符号的口令,如上取出的123456口令的HASH,两个HASH完全相等。

就是使用了字母,其知道补充的KEY,算法,两个加密字串的关系,其解应该也是大大的简化了。