利用MSSQL sp自制未公开的加密函数

函数|加密

Microsoft SQL Server是如何加密口令的?如何自制未公开的加密函数?

  如果对MSSQL的用户信息有兴趣的,可能会发现master.dbo.sysxlogins里面存放着用户的口令,可是呢,password字段如果不是null就是一堆看不懂的binary,这个口令是怎么加密的呢?

  其实只要仔细看看master.dbo.sp_addlogin就知道了,MSSQL的sp都可以看到代码,真是不错。

  让我们来看看它是怎么做的,注意这一行select @passwd = pwdencrypt(@passwd),这个时后@passwd就被加密了,让我们也来试一下

DECLARE @ClearPWD varchar(255)
DECLARE @EncryptedPWD varbinary(255)
SELECT @ClearPWD = 'test'
SELECT @EncryptedPWD = CONVERT(varbinary(255), pwdencrypt(@ClearPWD))
SELECT @EncryptedPWD

  看上去不错,确实被加密了,可是我怎么还原呢?

  呵呵,这就没戏了,口令加密都是单向的,用加密后的密文来比较就可以了。

  继续看看其它用户相关的sp,可以发现master.dbo.sp_password里面有口令比较的内容。

pwdcompare(@old, password, (CASE WHEN xstatus&2048 = 2048 THEN 1 ELSE 0 END))

  不用去理会xstatus,这是一个状态掩码,一般我们用的时候就直接用0就可以了

DECLARE @ClearPWD varchar(255)
DECLARE @EncryptedPWD varbinary(255)
SELECT @ClearPWD = 'test'
SELECT @EncryptedPWD = CONVERT(varbinary(255), pwdencrypt(@ClearPWD))
SELECT pwdcompare(@ClearPWD, @EncryptedPWD, 0)
SELECT pwdcompare('ErrorPassword', @EncryptedPWD, 0)

  这样我们就可以使用这两个函数来加密自己的密码了:)   

时间: 2024-11-01 21:18:50

利用MSSQL sp自制未公开的加密函数的相关文章

微软未公开存储过程及有用的函数

原文:微软未公开存储过程及有用的函数 从网上收集,有些已经在2008不支持或者后续版本不支持,所以需要慎用. XP_FileExist: 用法:EXEC xp_fileexist <filename> [, <file_exists INT> OUTPUT] 例子:exec master.dbo.xp_fileexist 'C:\temp' SP_MSForEachDb: 例子1:exec dbo.sp_MSforeachdb 'select ''?'', * from [?].I

如何利用MySQL加密函数保护Web网站敏感数据

如果您正在运行使用MySQL的Web应用程序,那么它把密码或者其他敏感信息保存在应用程序里的机会就很大.保护这些数据免受黑客或者窥探者的获取是一个令人关注的重要问题,因为您既不能让未经授权的人员使用或者破坏应用程序,同时还要保证您的竞争优势.幸运的是,MySQL带有很多设计用来提供这种类型安全的加密函数.本文概述了其中的一些函数,并说明了如何使用它们,以及它们能够提供的不同级别的安全. 双向加密 就让我们从最简单的加密开始:双向加密.在这里,一段数据通过一个密钥被加密,只能够由知道这个密钥的人来

两个未公开的ACCESS方法的使用技巧

access|技巧 作者:佚名 来源:安全协议网 应黄海之邀(http://www.accessqq.com),突然要写点自己的东西,一下子仿佛不知道写些什么了,研究ACCESS这么多年,感觉都是在做企业应用,并没有什么高深的技巧,也没有属于自己的技巧,只好绞尽脑汁,榨点东西出来,希望能对得起黄海和大家:) 在ACCESS中APPLICATION对象有两个未公开的方法,其中一个是SaveAsText, 另一个是LoadFromText.我记得是刚学ACCESS不久,当时在研究FMS一个分析工具时

美国限制未公开软件漏洞出口 将其视为潜在武器

美国商务部周三提交了新的出口限制禁令,将未公开的软件漏洞视为潜在武器.此举旨在减少安全行业为敌对国家提供的可能帮助.但是很多安全研究人员表示,美国商务部的出口限制禁令可能无法遏制黑市,同时阻碍跨境合作和国防产品销售. 商务部的禁令中覆盖所谓的"零日漏洞"(zero-day)以及软件开发商也不了解的安全漏洞."零日漏洞"又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞. 黑客与国防承包商经常向政府机构或软件开发商出售有关此类漏洞的信息,美国内部销售则可以继续.但是

强生行贿手法曝光 未公开记录或牵涉中国市场

强生使尽浑身解数也未能逃脱美国政府的一张罚单.4月8日,美国强生公司宣布,将支付7000.63万美元罚款,与多项行贿指控达成和解. 按照美国反海外贿赂法,强生公司涉嫌在希腊.波兰.罗马尼亚.伊拉克等一系列国家进行贿赂政府官员.医生等人员,以换取市场份额.为此,强生付出2140万美元用于和解美国司法部的刑事指控,同时支付了4860多万美元用于和美国证券交易委员会达成和解. 这一罚款数额已经使强生荣登反海外贿赂罚单的前十强.而这仅是强生需要应付的一部分罚款,按照2007年强生与美国司法部签立的延期起

移动APP存重大安全隐患,用户数据未启用HTTPS加密

前言 过去的2015"双十一",天猫最终以912.17亿元的交易额创下惊人纪录.值得注意的是,天猫移动端交易额为626亿元,占比达68.67%,远超PC端交易规模.这预示着电子商务的移动时代真正到来,移动端正式成为与PC端并驾齐驱的主流渠道.到目前为止,以天猫为代表的在线购物市场及以携程为代表的在线旅游市场,都出现移动端交易量快速增长的趋势. 移动互联网火热,APP使用量呈现爆发式增长,但移动APP安全却存在巨大的安全隐患.沃通CA针对一些热门APP检测的综合结果显示,90%以上的AP

求帮助啊 急用啊-利用C语言设计简单的文件加密解密程序

问题描述 利用C语言设计简单的文件加密解密程序 利用C语言设计简单的文件加密解密程序,并通过代码实现,希望得到源代码. 解决方案 最简单的用xor实现加密.http://blog.csdn.net/fdipzone/article/details/20413631 解决方案二: http://blog.163.com/chatter@126/blog/static/12766566120101020102247603/http://blog.csdn.net/szhhck/article/det

黑客利用此漏洞可盗走网站用于加密在线交易和 web 连接的密钥

本月初,一家叫做Codenomicon的安全公司在全世界最大的开源加密服务 OpenSSL 中找到了一个严重漏洞,黑客利用此漏洞可盗走网站用于加密在线交易和 web 连接的密钥,受影响的服务器数量可能多达几十万,在圈子里造成了严重恐慌.幸好,Codenomicon在公布漏洞消息的同时也发布了补丁.不过比起亡羊补牢,更好的做法是防患于未然. 近日,包括Google.微软.Facebook在内的十二家科技巨头就发起了一个叫做 the Core Infrastructure Initiative的项目

神仙姐姐的凡人相:网友曝刘亦菲未公开私照(组图)

<天龙八部>中的王语嫣.<仙剑奇侠传>中的赵灵儿.<神雕侠侣>中的小龙女--鹅蛋脸上有一双凤眼的刘亦菲,私下里也是个"神仙姐姐"吗?一起看看刘亦菲未公开的私人照.(文/Enyablog)[page][page]刘亦菲和继父