站点图标 江湖人士

教程系列:SQL Server 2000口令扫描案例

教程系列:SQL Server 2000口令扫描案例

SQL Server 2000数据库一般都是安装在Server操作系统中,在过程中,对数据库的攻击也是典型的攻击手段之一,加之目前市道上良多平安检测和入侵软件均具无数据库口令扫描功能,一旦获取了数据库中的sa用户的口令,入侵者能够施行添加用户等危险号令,能够很容易被入侵者完全节制。常见的数据库攻击次要有以下几种。

(1)通过互联网间接毗连进行攻击。数据库要一般利用必需开放1433(1434)或者指定其它一个端口,这些端口在互联网上都能够探测到。若是没有对IP地址做限制,则在互联网上的任何用户都能够拜候这台办事器的1433端口,SQL Slammer蠕虫就是针对SQL办事器的缝隙来实施攻击的,这些间接的攻击可以或许导致拒绝办事攻击、缓存溢出和其它攻击。

(2)平安缝隙扫描。平安缝隙扫描凡是指针对操作系统、收集使用法式或者数据库系统本身的弱点进行扫描。攻击者在平安扫描过程中能够很轻松的发觉没有利用SQL平安补丁、互联网消息办事(IIS)设置弱点以及SNMP(简单收集办理和谈)等缝隙,而且实施攻击从而导致数据库被打破。入侵者再攻击过程中可能利用公开的东西,也有可能利用公用东西,还有可能操纵一些大型公司供给的平安扫描法式,例如Qualys公司的通俗扫描东西QualysGuard,SPI Dynamics公司的收集使用法式扫描东西WebInspect等。

(3)列举SQL办事器解析办事攻击。Chip Andrews的“SQLPing v 2.5”可用来查看SQL办事器系统、查看数据库实例以及确定版本编号等。当长时间的SQL办事器请求发送到UDP端口1434的广播地址的时候,会呈现缓存溢出问题。

(4)破解SA口令。攻击者能够通过破解SA口令的方式进入SQL办事器数据库。Application平安公司的AppDetective和NGS软件公司的NGSSQLCrack等贸易性东西软件都有破解sa口令的功能,还有一些其它扫描东西软件能够很好的破解sa口令,再下面的案例中我们会着重引见若何来扫描sa口令并实施完全节制。

(5)间接操纵平安缝隙攻击。能够操纵Metasploit等东西软件间接实施攻击,它是操纵在一般的平安缝隙扫描过程中发觉的平安缝隙实施攻击,这种攻击手段很是无效,攻击者还可操纵这种手段冲破系统、处置代码注入或者取得非经授权的号令行拜候权限。

(6)SQL注入攻击。SQL注入攻击是目前收集最为风行的一种攻击,它次要通过建立SQL言语脚本来实施攻击。目前网上有良多风行的SQL注入攻击东西,例如教主的HDSI3.0版、明小子的Domain3.5等,操纵这些东西来攻击,操作简单。

(7)Googlehacks。Google hacks操纵Google搜刮引擎分歧寻常的力量搜出可公开拜候的系统泄露出来的SQL办事器的错误,如“Incorrect syntax near”,黑客可以或许利用Google找到口令、收集办事器中的平安缝隙、根基的操作系统、公开供给的法式以及其它可以或许用来打破SQL办事器系统的工具。

(8)熟读网站源代码寻找0day。目前良多网站的BBS、Blog、文章系统、内容办理系统都是利用公开辟行的版本,通过阅读这些公开辟现的法式源代码,研究和阐发系统代码中具有的问题,这些问题极有可能是0day,找到当前就可操纵并实施攻击和节制。下面是利用Hscan扫描MSSQL口令并实施攻击的一个案例。

比特软件消息化周刊供给以数据库、操作系统和办理软件为重点的全面软件消息化财产热点、使用方案保举、适用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与办事业内动态来为IT用户找到软捷径。

比特商务周刊是一个及行业资讯、深度阐发、企业导购等为一体的分析性周刊。此中,与中国计量科学研究院合力制造的比特尝试室可认为贸易用户供给最权势巨子的采购指南。是企业用户不成贫乏的智选周刊!

比特收集周刊向企业网管员以及收集手艺和产物利用者供给关于收集财产动态、手艺热点、组网、建网、收集办理、收集运维等最新手艺和适用技巧,协助网管答疑解惑,成为网管好辅佐。

比特办事器周刊作为比特网的重点频道之一,次要关心x86办事器,RISC架构办事器以及高机能计较机行业的产物及成长动态。通过最独到的编纂概念和业界动态阐发,让您第一时间领会办事器行业的趋向。

比特存储周刊持久以来,为读者供给企业存储范畴高质量的原创内容,及时、全面的资讯、手艺、方案以及案例文章,力图成为业界领先的存储媒体。比特存储周刊一直努力于用户的企业消息化扶植、存储营业、数据庇护与容灾建立以及数据办理摆设等方面办事。

比特平安周刊通过专业的消息平安内容扶植,为企业级用户制造最具贸易价值的消息沟通平台,并为平安厂商供给多层面、多维度的媒体宣传手段。与其他同类网站消息平安内容比拟,比特平安周刊运作模式愈加独立,对消息平安界的动态旧事更新更快。

旧事核心以奇特视角精选一周内最具影响力的行业严重事务或圈内出色故事,为企业级用户制造重点凸起,可读性强,贸易价值高的消息共享平台;同时为互联网、IT业界及通信厂商供给一条精准快速,渗入力强,笼盖面广的媒体传布路子。

比特云计较周刊关心云计较财产热点手艺使用与趋向成长,全方位报道云计较范畴最新动态。为用户与企业架设起沟通交换平台。包罗IaaS、PaaS、SaaS各类分歧的办事类型以及相关的平安与办理内容引见。

比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深切采访为依托,汇聚中国500强CIO的集体聪慧。旨为中国精采的CIO供给一个优良的互融互通 、推进交换的平台,并持续供给丰硕的资讯和办事,切磋消息化扶植,鞭策中国消息化成长引领CIO将来职业成长。

IT专家旧事邮件持久以来,以定向、分众、整合的贸易模式,为企业IT专业人士以及IT系统采购决策者供给高质量的原创内容,包罗IT旧事、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者供给包罗征询、社区、论坛、线下会议、读者沙龙等多种办事。

X周刊是一份IT人的手艺文娱周刊,给用户及时传送I最新T资讯、IT段子、手艺技巧、畅销册本,同时用户还能参与我们保举的互动游戏,给泛博的IT手艺人士忙碌工作之余带来轻松休闲一刻。

退出移动版