网站主页   操作系统    网络工程    服务器    网页制作    数据库    程序开发    网络安全    办公软件   
讲座日期: 本周六下午1点30分 抢座
讲座地点: 北大青鸟马甸校区
主讲老师: 王老师 金牌讲师
讲座主题: 网络安全
讲座内容: 检测、防御、黑客信息,如何过滤不安全的网站,如何防御黑客的进攻。
订座电话: 010-82011432/33
  您当前位置:主页 > 网络学院 > 服务器 >

SQL Server弱口令测试 堵住企业服务器遗漏的安全之门




SQL Server弱口令测试 堵住企业服务器遗漏的安全之门

 

  对于企业而言,服务器的稳定和高效是至关重要的。因此企业服务器的管理员们往往以维护服务器的稳定、高效地运行视为己任,但是他们对于服务器的安全性却容易疏忽,至少对于某些管理员是这样的。

  最近笔者对自己的服务器进行了一次有效的安全测试,下面就把这测试的全过程展现出来,希望对大家有所帮助。

  测试工具:

  1.S扫描器(一种速度极快的多线程命令行下的扫描工具)

  2.SQL登陆器

  3.scansql.exe(SQL弱口令扫描工具)

  4.cmd(微软命令行工具)

  5.DNS溢出工具

  SQL Server弱口令测试

  1.缘由:

  SQL Server是很多中小型企业、事业单位的首选数据库系统,由于一些管理员的疏忽或者安全意识淡薄,总是以数据库默认的用户SA登录数据库,并且采用了默认的空密码或是设置了简单的弱口令密码。

  2.测试:

  以笔者本机IP为中心,随机选取了一个IP段进行测试。

  第一步:在命令提示符下运行s扫描器,输入一个IP段:

  s syn 61.178.*.1 61.178.*.254 1433 扫描到13个开了1433端口的服务器。(1)

SQL Server弱口令测试 堵住企业服务器遗漏的安全之门

  第二步:把扫描结果保存为一个文本文件,然后用scansql.exe工具对这些IP进行弱口令检测,检测到2个弱口令的IP。然后打开SQL连接器,输入其中一个弱口令IP,账户"sa“空密码连接成功如图2。然后输入命令”dir c:“,可以执行,如图3。这样便获得了一个具有system权限的shell(注:shell相比管理员权限还要高!),至此这台数据库服务器便成了进攻者的囊中之物。(2)(3)

SQL Server弱口令测试 堵住企业服务器遗漏的安全之门

图2

SQL Server弱口令测试 堵住企业服务器遗漏的安全之

图3

 

 


上一篇:别让你的服务器问题影响了蜘蛛的光顾  
下一篇:Lvs负载均衡的状态监控 北大青鸟华腾中心
相关信息:


Copyright © 2004-2015 北大青鸟马甸校区 北京北方华腾技术培训中心 版权所有
学校地址:北三环中路马甸桥东北角商房大厦(国美电器)626
招生热线:010-82011433/32 京公网安备110102004704  京ICP备05043413号 京公网安备110102004704