【标 题】:深入探索MS SQL Server 2000网络连接的安全问题(2)
【关键字】:SQL,连接,Server,MS,网络,安全,20,2000,SQL Server,Serv,200,MS,SQL,Server,2000
【来 源】:网络
深入探索MS SQL Server 2000网络连接的安全问题(2)
3、神秘的1434端口和服务器信息明文传输缺陷
对于SQL Server2000来说,打开SQL Server客户端准备连接,当拉开服务器列表的时候,整个局域网所有的SQL Server服务器都被列出来了。于是我发现,从我自己的机器(192.168.0.1)上从1434端口广播(192.168.0.255)了这个UDP包,然后,整个局域网中的SQL Server服务器都开始响应这个UDP数据包,这时,我的客户端能够得到所有服务器信息。
这就是客户端进行连接的过程:当客户端连接到服务器时,应用程序请求连接远端计算机,Dbnetlib.dll 将打开到连接中所指定的计算机网络名上的 UDP 端口 1434 的连接。所有运行 SQL Server 2000 的计算机都监听此端口。当一个客户端 Dbnetlib.dll 连接到该端口时,服务器将返回一个监听服务器上运行的所有实例的数据包。对于每个实例,该数据包报告该实例正在监听的服务器 Net-Library 和网络地址。应用程序计算机上的 Dbnetlib.dll 收到该数据包后,选择在应用程序计算机和 SQL Server 实例上都启用的 Net-Library,然后连接为此数据包中的 Net-Library 列出的地址。
通过1434端口传输特定的UDP数据包,然后服务器开始回应,所有这些都是明文传输的,我们可以很容易探测一个IP地址的1434端口,获得该IP地址上运行的SQL Server的相关信息。这些信息包括:主机名称、实例名称、版本、管道名称以及使用的端口等。这个端口是微软自己使用,而且不象默认的1433端口那样可以改变,1434是不能改变的,呵呵,那么我们为了安全,去改变这个1433端口能起什么作用呢?
我们可以来捕获这些数据报,可以发现,通过1434端口的数据非常简单,客户端仅仅简单地发送了02一个字节出去。不过多次捕获,发现有时候发送的是 03。于是我就用下面程序一个一个测试,发送其他数据。不过最后只有02、03、04有回应。看来这三种字节用来做SQL Server探测的。而且你可以发送 02 00 00,也可以发送 02 00 00 00 00等等都能够得到SQL Server的回应,但是发送 02 03就不可以了。
下面是一个利用1434进行探测的程序,可以探测单个IP,也可以用来探测整个局域网的数据库服务器。
////////////////////////////////////////////////////////////
//
// SQLPing by refdom
//
// Author: refdom. From Chip Andrews
// Email: refdom@263.net
//
////////////////////////////////////////////////////////////
#include "stdafx.h"
#include
#include
#include
void decode_recv (char *buf, int size)
{
int index;
int counter = 0;
for (index = 3; index < size; index++)
{
if ((buf[index] == ';') && (buf[index+1] != ';'))
{
//Look for a semi-colon and check for end of record (;;)
if ((counter % 2) == 0)
{
printf(":");
counter++;
}
else
{
printf("\n");
counter++;
}
}
else
{
if (buf[index] != ';')
{
// If an end of record (;;), then double-space for next instance
printf("%c",buf[index]);
}
else
{
printf("\n");
}
}
}
printf("\n");
}
void listen (void* v)
{
static const unsigned int buffersize = 64000;
static char buffer [buffersize];
SOCKET s = (SOCKET)v;
for (;;)
{
struct sockaddr_in udpfrom;
int udpfromlen = sizeof(udpfrom);
int n = recvfrom(s, buffer, sizeof(buffer), 0, (struct sockaddr *)&udpfrom, &udpfromlen);
int e = WSAGetLastError();
if (n > 0 && e == 0)
decode_recv(buffer, n);
}
}
void useage()
{
printf("******************************************\n");
printf("SQLPing\n");
printf("\t Written by Refdom\n");
printf("\t Email: refdom@263.net\n");
printf("Useage: sqlping.exe target_ip \n");
printf("*******************************************\n");
}
int main(int argc, char* argv[])
{
WSADATA WSAData;
SOCKET sock;
SOCKADDR_IN addr_in;
char buf[5]={'\x02'};
HANDLE listener;
useage();
if (argc<2)
{
return false;
}
if (WSAStartup(MAKEWORD(2,0),&WSAData)!=0)
{
printf("WSAStartup error.Error:%d\n",WSAGetLastError());
return false;
}
if ((sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP))==INVALID_SOCKET)
{
printf("Socket failed.Error:%d\n",WSAGetLastError());
return false;
}
addr_in.sin_family=AF_INET;
addr_in.sin_port=htons(1434);
addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);
const int SNDBUF = 0;
const int TCPNODELAY = true;
const int BROADCAST = true;
if (setsockopt(sock, SOL_SOCKET, SO_SNDBUF, (const char*)&SNDBUF, sizeof(SNDBUF))==SOCKET_ERROR)
{
printf("Set SO_SNDBUF failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, TCP_NODELAY, (const char*)&TCPNODELAY, sizeof(TCPNODELAY))==SOCKET_ERROR)
{
printf("Set TCP_NODELAY failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, SO_BROADCAST, (const char*)&BROADCAST, sizeof(BROADCAST))==SOCKET_ERROR)
{
printf("Set SO_BROADCAST failed.Error:%d",WSAGetLastError());
return false;
}
listener = (HANDLE) _beginthread(listen, 0, (void*)sock);
// e = sendto(s, "\08", 1, 0,(sockaddr*) &hostaddr, sizeof(hostaddr));
if (sendto(sock, buf, sizeof(buf), 0,(sockaddr*) &addr_in, sizeof(addr_in))==SOCKET_ERROR)
{
printf("Send failed.Error:%d\n",WSAGetLastError());
return false;
}
printf("Listening....\n\n");
// wait a little while for listener thread
WaitForSingleObject(listener, 5000);
WSACleanup();
printf("SQLPing Complete.\n");
return 0;
}
上面的程序只有探测作用,没有破坏性。呵呵
感谢Hectic给我提供的帮助。限于本人的水平,难免有错误之处,还请大家多多指正。如果谁有TDS协议(应用在SQL Server上的)的具体描述手册,请EMAIL给我,谢过了。EMAIL: refdom@263.net (未完待续)
【关键字】:SQL,连接,Server,MS,网络,安全,20,2000,SQL Server,Serv,200,MS,SQL,Server,2000
【来 源】:网络
深入探索MS SQL Server 2000网络连接的安全问题(2)
3、神秘的1434端口和服务器信息明文传输缺陷
对于SQL Server2000来说,打开SQL Server客户端准备连接,当拉开服务器列表的时候,整个局域网所有的SQL Server服务器都被列出来了。于是我发现,从我自己的机器(192.168.0.1)上从1434端口广播(192.168.0.255)了这个UDP包,然后,整个局域网中的SQL Server服务器都开始响应这个UDP数据包,这时,我的客户端能够得到所有服务器信息。
这就是客户端进行连接的过程:当客户端连接到服务器时,应用程序请求连接远端计算机,Dbnetlib.dll 将打开到连接中所指定的计算机网络名上的 UDP 端口 1434 的连接。所有运行 SQL Server 2000 的计算机都监听此端口。当一个客户端 Dbnetlib.dll 连接到该端口时,服务器将返回一个监听服务器上运行的所有实例的数据包。对于每个实例,该数据包报告该实例正在监听的服务器 Net-Library 和网络地址。应用程序计算机上的 Dbnetlib.dll 收到该数据包后,选择在应用程序计算机和 SQL Server 实例上都启用的 Net-Library,然后连接为此数据包中的 Net-Library 列出的地址。
通过1434端口传输特定的UDP数据包,然后服务器开始回应,所有这些都是明文传输的,我们可以很容易探测一个IP地址的1434端口,获得该IP地址上运行的SQL Server的相关信息。这些信息包括:主机名称、实例名称、版本、管道名称以及使用的端口等。这个端口是微软自己使用,而且不象默认的1433端口那样可以改变,1434是不能改变的,呵呵,那么我们为了安全,去改变这个1433端口能起什么作用呢?
我们可以来捕获这些数据报,可以发现,通过1434端口的数据非常简单,客户端仅仅简单地发送了02一个字节出去。不过多次捕获,发现有时候发送的是 03。于是我就用下面程序一个一个测试,发送其他数据。不过最后只有02、03、04有回应。看来这三种字节用来做SQL Server探测的。而且你可以发送 02 00 00,也可以发送 02 00 00 00 00等等都能够得到SQL Server的回应,但是发送 02 03就不可以了。
下面是一个利用1434进行探测的程序,可以探测单个IP,也可以用来探测整个局域网的数据库服务器。
////////////////////////////////////////////////////////////
//
// SQLPing by refdom
//
// Author: refdom. From Chip Andrews
// Email: refdom@263.net
//
////////////////////////////////////////////////////////////
#include "stdafx.h"
#include
#include
#include
void decode_recv (char *buf, int size)
{
int index;
int counter = 0;
for (index = 3; index < size; index++)
{
if ((buf[index] == ';') && (buf[index+1] != ';'))
{
//Look for a semi-colon and check for end of record (;;)
if ((counter % 2) == 0)
{
printf(":");
counter++;
}
else
{
printf("\n");
counter++;
}
}
else
{
if (buf[index] != ';')
{
// If an end of record (;;), then double-space for next instance
printf("%c",buf[index]);
}
else
{
printf("\n");
}
}
}
printf("\n");
}
void listen (void* v)
{
static const unsigned int buffersize = 64000;
static char buffer [buffersize];
SOCKET s = (SOCKET)v;
for (;;)
{
struct sockaddr_in udpfrom;
int udpfromlen = sizeof(udpfrom);
int n = recvfrom(s, buffer, sizeof(buffer), 0, (struct sockaddr *)&udpfrom, &udpfromlen);
int e = WSAGetLastError();
if (n > 0 && e == 0)
decode_recv(buffer, n);
}
}
void useage()
{
printf("******************************************\n");
printf("SQLPing\n");
printf("\t Written by Refdom\n");
printf("\t Email: refdom@263.net\n");
printf("Useage: sqlping.exe target_ip \n");
printf("*******************************************\n");
}
int main(int argc, char* argv[])
{
WSADATA WSAData;
SOCKET sock;
SOCKADDR_IN addr_in;
char buf[5]={'\x02'};
HANDLE listener;
useage();
if (argc<2)
{
return false;
}
if (WSAStartup(MAKEWORD(2,0),&WSAData)!=0)
{
printf("WSAStartup error.Error:%d\n",WSAGetLastError());
return false;
}
if ((sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP))==INVALID_SOCKET)
{
printf("Socket failed.Error:%d\n",WSAGetLastError());
return false;
}
addr_in.sin_family=AF_INET;
addr_in.sin_port=htons(1434);
addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);
const int SNDBUF = 0;
const int TCPNODELAY = true;
const int BROADCAST = true;
if (setsockopt(sock, SOL_SOCKET, SO_SNDBUF, (const char*)&SNDBUF, sizeof(SNDBUF))==SOCKET_ERROR)
{
printf("Set SO_SNDBUF failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, TCP_NODELAY, (const char*)&TCPNODELAY, sizeof(TCPNODELAY))==SOCKET_ERROR)
{
printf("Set TCP_NODELAY failed.Error:%d",WSAGetLastError());
return false;
}
if (setsockopt(sock, SOL_SOCKET, SO_BROADCAST, (const char*)&BROADCAST, sizeof(BROADCAST))==SOCKET_ERROR)
{
printf("Set SO_BROADCAST failed.Error:%d",WSAGetLastError());
return false;
}
listener = (HANDLE) _beginthread(listen, 0, (void*)sock);
// e = sendto(s, "\08", 1, 0,(sockaddr*) &hostaddr, sizeof(hostaddr));
if (sendto(sock, buf, sizeof(buf), 0,(sockaddr*) &addr_in, sizeof(addr_in))==SOCKET_ERROR)
{
printf("Send failed.Error:%d\n",WSAGetLastError());
return false;
}
printf("Listening....\n\n");
// wait a little while for listener thread
WaitForSingleObject(listener, 5000);
WSACleanup();
printf("SQLPing Complete.\n");
return 0;
}
上面的程序只有探测作用,没有破坏性。呵呵
感谢Hectic给我提供的帮助。限于本人的水平,难免有错误之处,还请大家多多指正。如果谁有TDS协议(应用在SQL Server上的)的具体描述手册,请EMAIL给我,谢过了。EMAIL: refdom@263.net (未完待续)
【相关文章】
个人安全三部曲
菜鸟级Windows的安全
谈隐私安全
四招搞定Windows 2003安全性
QQ安全三大纪律八项注意
中小规模NT网的安全策略
Windows 98安全防范基础教程
恶意代码与网络安全(1)
恶意代码与网络安全(2)
告别3721(网络实名)之苦(1)
【随机文章】
禁止显示“注销”菜单
标准模板库STL之一 序列
ASP3.0中的流控制能力(1)
InvalidateRgn-WINDOWS API
oracle里的常用命令详解
多态性——vptr和vtable
Perl语言入门(第四版)--备忘录9
MPLS:ATM与IP结合新模方式
google桌面
给你一点知识确保网络的安全
【相关评论】
没有相关评论
【发表评论】
|