[SQL SERVER][TSQL]查詢比對 SQL Server 登入密碼
前些日子我在SQL PASS TW 粉絲團上面分享了一則影片,
主要是重視密碼強度問題,
因為透過PWDCOMPARE比對密碼,
很容易找出SQL SERVER中相關登入使用者,
這年代個人電腦運算能力已經不像10年前,
所以駭客透過字典暴力攻擊手法其實越來越常見,
下面簡單測試一下。
--找出密碼:12345678 相關登入使用者
SELECT name,sid,type_desc,default_database_name
FROM sys.sql_logins
WHERE PWDCOMPARE('12345678', password_hash) = 1 ;
Hacking SQL SERVER: XP_CMDSHELL - METASPLOIT - SQL Injection
參考
