在對SQL Server系統執行入侵測試或者更高級別的安全審計時,有一種測試不應該被忽略,那就是SQL Server密碼測試。這一點看起來顯而易見,但是很多人都會忽略它。
密碼測試可以幫助檢查惡意入侵者或者外部攻擊者,測試他們要強行進入數據庫有多容易,而且還可以確保SQL Server用戶對他們的賬號負責。此外,測試密碼的漏洞在SQL Server混合模式認證的情況下尤其重要,這種模式比其他Windows認證模式安全性要差一些。
密碼測試的第一步是確定要測試的系統。雖然你對你的環境可能了如指掌,但是找出那些可能被遺忘的服務器,或者有未經你知曉有人就連接到網絡的服務器的情況是沒有壞處的。
SQLPing3是一個免費的SQL Server查找和密碼破解工具,可以幫助你開始測試。該工具有多個選項可以供你搜索活動狀態的SQL Server系統,如圖1所示:
圖1 用SQLPing3搜索活動SQL Server系統的選項界面
此外,SQLPing3可以掃描到那些通過約定俗成的端口掃描可能掃描不到的SQL Server數據庫實例,而且它可以找到那些“sa”密碼為空的系統。SQLPing3還可以針對SQL Server數據庫運行字典攻擊,這種做法就像加載你自己的用戶賬號和密碼列表一樣簡單。
因為這是最基礎層面的SQL Server搜索和密碼破解,所以我們從這里開始非常合適。
另一個免費工具是Cain&Abel,它支持你轉存並攻擊SQL Server數據庫密碼哈希,如圖2所示:
圖2 使用Cain&Abel轉存並破解哈希
使用Cain&Abel,你可以插入你自己的哈希或者通過ODBC連接到數據庫並把它們一股腦轉存下來,以便后續破解使用。
在商業軟件里面,NGSSQLCrack和AppDetective Pro都是很好的工具,他們可以執行字典破解和暴力密碼破解。
我最喜愛的新的商業SQL Server密碼破解工具是Elcomsoft公司開發的Advanced SQL 密碼恢復工具。使用Advanced SQL Password Recovery,你可以立即從“master.mdf”文件中恢復密碼,如圖3所示:
圖3 使用Advanced SQL Password Recovery,從“master.dbf”指向並直接點擊密碼破解
這看起來似乎是不可思議的或者是完全不可能,因為SQL Server系統被認為在網絡范圍內是鎖定的。然而,我經常會碰上管理員級別的密碼或者發現丟失的補丁,一試之下,發現可以很容易地以全部權限訪問數據庫服務器。從這一點上看,系統中的一切就都是暴露着的游戲而已。
一定要記住的,SQL Server密碼破解不應該被忽視。要把它當成正式的安全評估,得到管理方面的支持,周密地規划。因為你不想碰到麻煩。
盡管如此,密碼破解也存在一些缺點要記住:
·密碼破解會消耗寶貴的系統資源,包括CPU時間,內存和網絡帶寬,積累到一定量就會給系統造成拒絕式服務攻擊。
·字典型攻擊和暴力攻擊會花大量時間,有時候你可能得不到結果(時間太長),尤其是如果你只能在特定的時間窗口內測試系統。
·字典攻擊的效果取決於你使用的字典,所以確保你操作時拿到的字典是可靠的。我發現BlackKnight List是最全面的字典。
最后,可能也是最重要的,一定要跟進你的發現。這可能意味着與管理層和你的IT部門同事分享你的發現,調整你的密碼策略並傳播安全意識,來說明安全對企業來說是多么重要的一個問題。