[MSSQL] 重建密碼一樣的帳號

最新推荐文章于 2020-12-06 12:33:16 发布
原创 最新推荐文章于 2020-12-06 12:33:16 发布 · 208 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mssql #重设密码 #密码 #爆破 #密码攻防

随着SQL Server 2005即将结束支持,企业面临系统升级或迁移的挑战。本文介绍了一种通过脚本迁移数据库账号及权限的方法,包括如何还原账号权限、获取加密密码并使用HASHED选项重建账号,确保服务平滑过渡。

在这里插入图片描述

因為SQL Server 2005即將結束服務(EOS),所以公司內有一些比較重要的系統就有考慮要進行升級或移轉服務,

User也希望經過測試再進行正式的服務移轉,因此通常會另外安裝新機,而不會原機升級,

在資料庫中可能有不少的系統帳號需要移轉,就可以透過以下方法來進行…

要還原帳號,不外乎是還原原先的權限以及建立一樣的密碼,

通常帳號在幫User建立,密碼交出去之後應該也忘光了(有建立密碼原則的例外),

如果帳號不多,花點時間一個一個跟User要也是一種方法,但如果數量超過5個,我想一般人也懶得問了,

當然如果一切能透過Script完成是最好的,但想也知道,密碼怎麼可能用明碼的方式存在呢…

透過以下的語法可以查到目前這個資料庫中以哪些帳號以及密碼,

SELECT name, password
FROM syslogins
WHERE password IS NOT NULL
ORDER BY name

從查到的資訊來看,還真的是亂碼…
在这里插入图片描述
如果把帳號用script匯出,密碼的欄位一樣是看不懂的,
在这里插入图片描述
當然,這個語法還是可以拿來建帳號,但使用記得的密碼拿來登入,會取得密碼錯誤的訊息,

怎麼辦呢??

查看MSDN中CREATE LOGIN的語法,有一個option叫HASHED,表示我們可以透過HASH過的密碼來建立帳號,

<option_list1> ::= 
    PASSWORD = { 'password' | hashed_password HASHED } [ MUST_CHANGE ]
    [ , <option_list2> [ ,... ] ]

透過底下的語法,我們可以取得被加密的字串,

SELECT name, LOGINPROPERTY(name, 'PasswordHash' ) hash
FROM syslogins
WHERE password IS NOT NULL
ORDER BY name

在这里插入图片描述
就可以改用以下的語法把帳號建回去了,

CREATE LOGIN TEST WITH PASSWORD = 0x0200FD89B0E958361F2D8DD16B05317E55BFA602014F7D334D1BB605A9F722A71A9FBAC9A7AE132F1DC161267CFE87EF276B76EC15A00CADF9626021E39462CAA02716DFAFE5 HASHED;

接著透過匯出的權限語法或是sp_change_users_logi這個procedure,一一把權限建立或連結回去就好。

@CLAx

MSSQL数据库SqlServer笔试题 最新金九银十
cao919的专栏Net
06-24 1279
数据库SqlServer笔试题 防范SQL注入式攻击 在线事务处理表格有过多索引 内存泄漏 Index有哪些类型,它们的区别和实现原理是什么,索引有啥优点和缺点;如何为SQL语句创建合适的索引,索引创建时有哪些需要,注 意的项,如何查看你创建的索引是否被使用;如何维护索引;索引损 坏如何检查,怎么修复;T-SQL有更好的索引存在,但是运行,时并没 有使用该索引,原因可能是什么
bitwarden自建服务器,自建bitwarden的密码服务
weixin_29763721的博客
07-29 3096
提醒:本文最后更新于242天前,文中所描述的信息可能已发生改变,请谨慎使用。对于经常上网的我们,账号密码相当多,使用同一个密码很容易被脱裤,使用不同的密码却又难记。其实有很多密码管理软件可以使用,比如bitwarden。bitwarden的密码默认是储存在官方有服务器上,当然是加密存储的。官方为了方便用户,也提供docker方式在自己的服务器安装该密码管理服务。要想自己安装使用bitwarde...
6.SQL Server 2008 安全性
weixin_34176694的博客
07-20 261
安全用户图形化操作 1:先创建安全-登录名 2:再创建指定数据库用户创建自定义架构和数据库用户名一样并绑定刚创建的登录名 3:为数据库用户授予表的操作权限 SQL Server 2008 安全性在数据库系统的设计和管理中,安全性通常是最有挑战性的一个方面。数据库管理员总 是希望服务器能尽可能地安全,同时又不必投入大景资金或是牺牲用户功能。遗憾的是,很 多管理员和应用程序开发人员对安全性的好...
SQL Server 2000的安全配置
zhlovers的专栏
09-19 1027
1、使用安全的密码策略   我们把密码策略摆在所有安全配置的第一步,请注意,很多数据库帐号密码过于简单,这跟系统密码过于简单是一个道理。对于sa更应该注意,同时不要让sa帐号密码写于应用程序或者脚本中。健壮的密码是安全的第一步!SQL Server2000安装的时候,如果是使用混合模式,那么就需要输入sa的密码,除非你确认必须使用空密码。这比以前的版本有所改进。同时养成定期修改密码的好习惯。数
sql新建登录名后登录失败_SQL Server创建账号密码和SID一致的登录账号
weixin_39953100的博客
12-06 765
有时候需要在每台服务器上创建账号密码一致的登录账号(SID一致),可以创建登录名的时候指定密码的哈希值和SID。例如我们搭建Always ON的时候每台服务器的账号需要SID一致。1.查看对应登录名的sid值和密码的哈希值。(该账号必须是在某台服务器上已经存在)SELECT name,sid,password_hash FROM sys.sql_logins密码的哈希值也可以通过LOGINPROP...
MSSQL2008 还原master数据库
爱上DBA...
01-18 1345
MSSQL2008 还原master数据库 SQLServer的数据库还原比较简单,用企业管理器操作就行了。可是master数据库损坏了,连服务都启动不了了,那该如何还原呢。 1、首先,必须先重新建立一个可以使用的master数据库,使服务可以启动起来。 在C盘的SQL共享文件夹下找到setup.exe文件,默认存放在C:\Program Files\Microsoft
SQL Server登陆账号添加与删除
iBenxiaohai123的博客
12-13 3378
  1)登陆账号添加   1.创建Windows 登陆账户, 语法: exec sp_grantlogin '登陆账号' use master go exec sp_grantlogin 'LAPTOP-R1U6PBGI\xiaoming' --LAPTOP-R1U6PBGI代表本机机器名,xiaoming代表该电脑的一个用户名,这个账号可以通过"计算机管理"中的"本地用户和组"来为该电脑...
MSSQL排序规则总结
GuoGuoABC
10-15 7985
什么是排序规则呢? 排序规则根据特定语言和区域设置标准指定对字符串数据进行排序和比较的规则。SQL Server 支持在单个数据库中存储具有不同排序规则的对象。MSDN解释:在 Microsoft SQL Server  中,字符串的物理存储由排序规则控制。排序规则指定表示每个字符的位模式以及存储和比较字符所使用的规则 当 Transact-SQL 语句在具有不同排序规则设置的不同数据库上下
MSSqlserver 恢复sa密码及 删除builtin\administrators后恢复
Wonderful's DBA Story
04-28 2599
MSSqlserver 恢复sa密码及 删除builtin\administrators后恢复
sqlserver2008r2数据库关联孤立账号的方法
reblue520的专栏
06-03 334
 重新安装mssql数据库后可能有这样的问题,     在数据还原到其他服务器时,登录名会丢失,重建非常麻烦     特別是数据库用户较多的的情况,其实这个问题解决非常简单,     sql server 2005 及以前的产品,     sql server 提供了 sp_change_users_login存储过程,(sql server 2008 须用ALTER U...
Web进销存源码 网络进销存管理系统 仓库管理系统多用户版asp+mssql
04-29
初始账号密码均为:admin 恢复或附加数据库后请修改web目录中conn.asp文件中的数据库连接内容。 程序功能简介 一、基本资料 1.往来单位(包括供应商和客户) 2.商品资料 3.仓库管理 4.员工信息 5.地区信息 6.会计...
社会工程学攻击的三个典例
热门推荐
Coisini的博客
06-05 2万+
Chris Hadnagy是靠”骗人”来领薪水的;这么多年来,他练就了一套炉火纯青的骗人功夫。Hadnagy是社会工程学攻击网站social-engineering.org的创办人之一,并且著有《社会工程学:人力黑客艺术》一书,十多年来他一直在使用操纵策略,向客户表明犯罪分子在如何窃取信息。 Hadnagy在其新书中大致介绍了三种典型的社会工程学攻击测试,并指出了企业可以从这些结果中汲取到什么教...
域名劫持的几种方法
Coisini的博客
06-09 2万+
科普文。。我看完以后的一个想法就是一但获得了域名的控制权。。如果真想干坏事。那就转移域名。而不只是简单的改DNS。。居然还敢卖域名。。这个第一次看到。。我是好人。。 一. 介绍 在2012年10月24日。社会化分享网站Diigo域名被盗,导致500万用户无法使用网站。 域名盗窃,也叫做域名劫持,不是新技术。早在2005年,SSAC报告就指出了多起域名劫持事件。域名劫持被定义为:从域名持有者获得非...
一句话木马(最新免杀php后门一句话)
Coisini的博客
06-15 1万+
各位同学 对 一句话木马 我写了第5篇了,没有绝对的安全 我们在完善中!啊哈哈 这段代码 可以被利用做后门 暂时免杀。 代码: &lt;?php //t.php $test = $_GET['r']; echo `$test`; ?&gt; 大家看看这个代码有木有问题?我想大家都会说没有问题,但是细心的朋友也会发现下面的变量被一个符号包起来了,既然是变量为什么...
运用最广的远控-TeamViewer被黑了
Coisini的博客
06-09 9827
TeamViewer 是一个远程桌面连接软件,它允许用户在世界上任何地方共享屏幕或进行远程访问。在过去的24小时内,许多客户都认为(观点未经证实),他们的电脑受到了黑 客的恶意访问。他们认为,黑客在美国的标准工作时间过去之后,使用TeamViewer在深夜侵入了他们的电脑, 并使用浏览器保存下来的密码访问了银行账户,或是安装了勒索软件。自周三下午12点开始,TeamViewer网站进入离线状态...
上传漏洞-一句话木马
Coisini的博客
05-30 8872
声明:为什么又写一篇关于一句话木马,对,我第一次没写明白,直写了一句话木马的简单制作,但是还是有很多同学真的看不懂,所以我今天改一下,这次精写! 上传漏洞-一句话木马 讲述内容: 一句话木马 木马使用技巧 (中国菜刀、C32、CKnife) 简介: 一句话木马 一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用 往目标网站中加入一句话木马,然后你就可以在本地通过...
网络安全 - 实战篇 [SRC初探]手持新手卡挖SRC逻辑漏洞心得分享
Coisini的博客
05-30 8077
***本文适合新手参阅,大牛笑笑就好了,嘿嘿 末尾有彩蛋!!!!!!!!!!!!!!!!! 本人参加了本次"i春秋部落守卫者联盟"活动,由于经验不足,首次挖SRC,排名不是那么理想,终于知道了自己的白帽子挖洞的道路还漫长的很,老司机岂非一日一年能炼成的。 本文多处引用了 YSRC 的 公(qi)开(yin)漏(ji)洞(qiao)。 挖SRC思路一定要广!!!! 漏洞不会仅限于SQL注入、命令执行...
轻松绕过PayPal双重认证
Coisini的博客
06-06 7124
国外的某白帽子发现了一个可以用来绕过PayPal的双重认证的方法,这个双重认证是用来保护用户帐号安全的. 这位白帽子同学叫做Joshua Rogers,据他说,仅仅知道用户点击eBay或PayPal时的cookie就可以绕过了.如果和PayPal一个”=_integrated-registration”函数有联系的cookie在用户的浏览器会话中存在,那么PayPal的双重认证系统就会被绕过.也...
WIFI绵羊墙搭建
Coisini的博客
06-06 5069
0x1 内容简介 本片文章是利用karma攻击搭建一个wifi绵羊墙,将自动链接上来的用户的主机名和被动广播出去的ssid的名称展示在屏幕上,我们先了解一下karma攻击的原理 Karma是一种通过伪造虚假响应包(Probe Response)来回应STA(Wireless station,手机、平板等客户端等)探测(Probe Request)的攻击方式,让客户端误认为范围内存在曾经连接过的W...
MSSQL密码查看器失效问题探讨
描述:“MSSQL密码查看器 查看Microsoft sql Server数据库密码,不能用,不能用,不能用,不能用不能用不能用不能用不能用不能用不能用不能用不能用不能用” 标签:“密码 MSSQL” 压缩包子文件的文件名称列表:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值