企业服务器安全性测试 SQL Server弱口令测试 - [技术文档]
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://diys.blogbus.com/logs/22532649.html
对于企业而言,服务器的重要性是不言而喻的。因此管理员们往往以维持服务器的稳定、高效地运行作为自己的工作目标,但是对于服务器的安全性往往考虑得较少,至少对于某些管理员是这样的。
最近笔者进行了一例服务器的安全测试,下面把这例测试过程写下来,希望对大家有所启示。
测试工具:
1.S扫描器(一种速度极快的多线程命令行下的扫描工具)
2.SQL登陆器
3.DNS溢出工具
4.cmd(微软命令行工具)
4.scansql.exe(SQL弱口令扫描工具)
SQL Server弱口令测试
1.缘由:
SQL Server是很多中小型企业、事业单位的首选数据库系统,由于一些管理员的疏忽或者安全意识淡薄,总是以数据库默认的用户SA登录数据库,并且采用了默认的空密码或者设置了若口令。
2.测试:
以笔者本机IP为中心,随机选取了一个IP段进行测试。
第一步:在命令提示符下运行s扫描器,输入一个IP段:
s syn 61.178.*.1 61.178.*.254 1433 扫描到13个开了1433端口的服务器。(图1)
第二步:把扫描结果保存为一个文本文件,然后用scansql.exe工具对这些IP进行若口令检测,检测到2个弱口令的IP。然后打开SQL连接器,输入其中一个若口令I,账户"sa“空密码连接成功如图2。然后敲命令”dir c:“,可以执行,如图3。这样就等于获得了一个具有system权限的shell(比管理员权限还高!),至此这台数据库服务器沦陷。(图2)(图3)
总结:虽然从上面这个IP段得到的存在SQL弱口令的服务器并不多,但如果存在弱口令并且被攻击者者利用,那对数据库服务器的打击将是毁灭性的,管理员们一定要加固数据库的口令。
收藏到:Del.icio.us
评论
适用机型:动物精灵、怒海争锋、怒海争霸、赛车风云、水果大餐、大小豹、彩
金大小豹、明星97、超级风火轮、飓风、飓风一号、吉祥宝贝、动物传说、动
物乐园、动物假期、森林之王、狮子传奇、狮子传说、超级狮子传说、狮子王国
、彩金狮王、精品狮王、加速度、百乐二代、超音速、千机变、万能战车、熊猫
国际、超级熊猫国际、闪电王、决战天下、宏运乐园、欢乐假期、天地合、闪电
列车,梦幻列车,米高梅之星、宝藏传奇、六合至尊、幸运水果、超级幸运星、
水果王朝、极速之神、雄霸、动感地带、手机、战将、财富列车、X5战车、金
宝马、至尊宝马、第五大街、狂野之城、极度诱惑、克隆堡、欢乐天地、金色皇
冠、金沙之夜、动物迪斯高等.
操作方法:一般把仪器绑于膝盖处或绑于手腕上。只要把膝盖或手腕靠近机器的
压分面板,喇叭口,开锁口,投币器或别的带铁的地方,按住开关即可上分。机
器上有自动频率调整,上分速度调整,高低档转换开关,性能稳定,不死机,体积
小,隐蔽性能强,过报警器,操作简单!
现有日本生产的遥控不需要安装可以控制跑灯机器,
已经试过机器水果大餐,水果盛宴,彩金狮子,赛车风云
大小豹子 明星97 小老虎机器等跑灯机器。
可以货到付款有需要请联系数量有限。