Ms sql перехват соединения

Сейчас на форуме: Rio, johnniewalker, vsv1, Magister Yoda, Kybyx (+4 невидимых)

Посл.ответ	Сообщение
Xa-Xa Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 12 января 2012 13:42 · Личное сообщение · #1 Доброго всем времени суток. Есть программа которая общается с базой ms sql. мне нужен от нее пароль что бы написать свою программу для работы с этим сервером. разработчики паролем делится от пользователя делится не захотели. поэтому думаю перехватить соединение и из него получить пароль. пробовал снифером он ничего не показал. на каком то из форумов видел решение в виде отладки программы в ollydbg и перехвате функции установки соединения я попробовал но не увидел данной функции. подскажите как написать врапеер над библиотекой что бы перехватить пароль. программа написана на delphi использует для соединения вроде как ado. подскажите где именно можно перехватить.

VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 12 января 2012 13:50 · Поправил: VodoleY · Личное сообщение · #2 возьми для начала dede и посмотри в компоненте database может пароль забит жостко З.Ы. и вообще любым вьювером поищи слово password. обычно его не прячут. ибо он ловица на ура ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
HandMill Ранг: 222.2 (наставник), 115thx Активность: 0.14↘0.01 Статус: Участник	Создано: 12 января 2012 13:57 · Личное сообщение · #3 API функции для установки брейкпоинтов в OllyDBG: send, WSASend потом смотри в передаваемый буффер, но помни что там пароля твоего может и не быть вовсе! Авторизация в MS SQL вполне себе может проходить на уровне доменной структуры Как там дела обстоят с зашифрованным соединением - не знаю, если такое есть то при помощи dede как тебе уже подсказали ищи свои пароли, а лучше - при помощи IDR в связке с OllyDBG ----- все багрепорты - в личные сообщения
Xa-Xa Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 12 января 2012 14:42 · Личное сообщение · #4 DEDУ пробовал . он сдампил процесс но показал информацию только на вкладке Classes info. видимо неакуратно распаковал.
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 12 января 2012 15:00 · Личное сообщение · #5 Xa-Xa программу саму смотреть надо тогда, возможно там протектор какойто сверху навешен ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
sendersu Ранг: 512.7 (!), 360thx Активность: 0.27↘0.03 Статус: Модератор	Создано: 12 января 2012 15:04 · Личное сообщение · #6 Xa-Xa в идеале надо искать пароль админа во время сетапа Ms sQL сервера (если есть возможность) еще можно апилоггером помонитирить, а вдруг чего словит
Xa-Xa Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 12 января 2012 15:29 · Личное сообщение · #7 попробую. но когда я проверял голую базу то там был один пользователь sa / а уже когда программа прошла регистрацию то там появилось еще 4 пользователя.
sendersu Ранг: 512.7 (!), 360thx Активность: 0.27↘0.03 Статус: Модератор	Создано: 12 января 2012 16:03 · Личное сообщение · #8 Xa-Xa пишет: там появилось еще 4 пользователя. кто их добавил? какойто sql скрипт или програмно? 2)sa = sysadmin, имея его зачем еще кого-то? 3) вспомнилось - есть утилиты что ищут пароли к множеству програм и кажись там mssql тоже есть (passware вроде)
Xa-Xa Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 12 января 2012 18:09 · Личное сообщение · #9 у sa есть пароль который мне удалось узнать //оффтоп антивирус nod32 4 версии запретил доступ на сайт. посчитав его вредоносным
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 12 января 2012 18:16 · Личное сообщение · #10 Xa-Xa а типа жертву увидеть можно? хотябы сам экзешник. мб. проще будет ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
Xa-Xa Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 12 января 2012 18:56 · Поправил: Xa-Xa · Личное сообщение · #11 вот сама жертва http://www.delphi-dev.ru/FarmCom6.zip
Xa-Xa Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 12 января 2012 19:30 · Личное сообщение · #12 sendersu сенск разбор инталяшки показал пароль от сервера на блюдечке с каёмочкой. но собственно сам вопрос не исчез. как сделать что бы можно было пароль отлавливать из самого соединения?
sendersu Ранг: 512.7 (!), 360thx Активность: 0.27↘0.03 Статус: Модератор	Создано: 12 января 2012 20:44 · Личное сообщение · #13 Xa-Xa а не факт что отловится ето ж вам не плейн-текст телнет соединие к ms sql серверу можно подключатся множеством способов если у вас конект по сети - проснифайте траффик во время конекта (commview, wireshark) да и глядите
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 12 января 2012 21:00 · Личное сообщение · #14 Xa-Xa пишет: у sa есть пароль который мне удалось узнать Значит весь сервер в твоем распоряжении, включая системные процедуры. ----- Yann Tiersen best and do not fuck \| Сообщение посчитали полезным: VodoleY
Xa-Xa Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 12 января 2012 21:11 · Личное сообщение · #15 пароль от sa я нашел в инсталяшке. но мне интересно теперь сделать враппер что бы отлавливать пароли во время работы программы.
sendersu Ранг: 512.7 (!), 360thx Активность: 0.27↘0.03 Статус: Модератор	Создано: 12 января 2012 21:46 · Личное сообщение · #16 Расшифровка mssql паролей ? http://madnet.name/news/55.html
Xa-Xa Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 13 января 2012 12:24 · Личное сообщение · #17 эта статья была одна из первых что прочитал. но это не то. если отловить саму функцию куда передается сторока подключения то оттуда можно вынуть все данные.
wesss Ранг: 1.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 14 января 2012 18:00 · Личное сообщение · #18 Снифать траффик по ключевым словам, которые можно узнать благодаря Profiler из пакета установки MS SQL Server возможно?

Для печати