配置檔案中的資料庫連線串加密了，你以為我就挖不出來嗎？

一線碼農發表於2020-08-12

一：背景

1. 講故事

前幾天在除錯物聯櫃終端上的一個bug時發現 app.config 中的資料庫連線串是加密的，因為除錯中要切換資料庫，我需要將密文放到專門的小工具上解密，改完連線串上的資料庫名，還得再加密貼到 app.config 中，煩的要死，內容如下：


  <appSettings>
    <!-- 資料庫連線字串 -->
    <add key="OLEDBConnStr" value="XfES27am6Muw48iB1GlMVqvUbq7/Pp9n4XbZJsDu19YDr/Zdb3m7KT6haD7f9HLj/ZEvIiZbmSU4O5L9g03Y5IUB6KLCZI7s3nDLwTIC+bXLf5quu/r8ZAI+rgNnsNZdwoDfquRLQy5Cf2X8/MFDOcMNaZYMpTYeHsZoEERU/TP9t3n5QllJTihrmDFbiGHLqe1kfN3uB3g1kgs0oobIEfNPr09kQ/pFgzZi/kZCrK10PLZZ0pFj1YU5ReFqBsdBlecV3D2Zl3lx1Ibls24t7w==" />
  </appSettings>

改完bug之後，我就想這玩意能防的了誰呢？私以為搞這麼麻煩也就防防君子，像我這樣的 曉人，加不加密都是等於沒加密，照樣給你脫庫。。。???

二：使用 ILSpy 去脫庫

1. 從DAL/Repository層去反編譯程式碼

要想得到明文的資料庫連線串，可以從程式碼中反推，比如從 DAL 或者 Repository 中找連線串欄位 ConnectionString，我這邊的終端程式是用 wpf 寫的，採用的是經典的三層架構，所以在 bin 下可以輕鬆找到，如下圖：

接下來用 ILSPy 反編譯這個 dll。

從上圖中可以看出，連線串的明文是存放在: OleDbHelper.ConnectionString 中的，然後可以看到，程式中定義了一個 Decrypt 方法專門用來解密連線串，哈哈，有了這個演算法，是不是就可以脫庫啦？？？如下程式碼所示：


    class Program
    {
        static void Main(string[] args)
        {
            var str = "XfES27am6Muw48iB1GlMVqvUbq7/Pp9n4XbZJsDu19YDr/Zdb3m7KT6haD7f9HLj/ZEvIiZbmSU4O5L9g03Y5IUB6KLCZI7s3nDLwTIC+bXLf5quu/r8ZAI+rgNnsNZdwoDfquRLQy5Cf2X8/MFDOcMNaZYMpTYeHsZoEERU/TP9t3n5QllJTihrmDFbiGHLqe1kfN3uB3g1kgs0oobIEfNPr09kQ/pFgzZi/kZCrK10PLZZ0pFj1YU5ReFqBsdBlecV3D2Zl3lx1Ibls24t7w==";
            
            Console.WriteLine(Decrypt(str));
        }

        public static string Decrypt(string str)
        {
            if (!string.IsNullOrEmpty(str))
            {
                DESCryptoServiceProvider descsp = new DESCryptoServiceProvider();
                byte[] key = Encoding.Unicode.GetBytes("Oyea");
                byte[] data = Convert.FromBase64String(str);
                MemoryStream MStream = new MemoryStream();
                CryptoStream CStream = new CryptoStream(MStream, descsp.CreateDecryptor(key, key), CryptoStreamMode.Write);
                CStream.Write(data, 0, data.Length);
                CStream.FlushFinalBlock();
                return Encoding.Unicode.GetString(MStream.ToArray());
            }
            return "";
        }
    }

不過還好，資料庫也是在客戶那邊獨立部署的，不存在走外網的情況，不然就玩大了。。。接下來我們來看看如何去防範。

2. 加殼/混淆/加密狗

現在市面上商業版和免費版都提供了給C#程式碼進行加密和混淆，不過我沒用過，我想最多在反編譯程式碼後閱讀性上增加了一些障礙，這也不過是時間問題罷了，畢竟SqlConnection，SqlCommand 這些FCL的類你是沒法混淆的，我從這些類上反推可以很輕鬆的就能找到明文的 ConnectionString ，所以這條路我覺得是走不通的。

3. 將解密演算法放在 server 端

既然 解密演算法 埋在客戶端你都能挖出來，那把它放在 server 端不就可以啦？在程式啟動的時候，呼叫一下 webapi 進行解密，這樣你總沒轍了吧？？？哈哈，大家可以開動腦子想一想，這種方法可行不可行？誠然，解密演算法搬走了，再用 ILSpy 去挖已經沒有任何意義了，但這裡有一個重要突破點，不管是用什麼形式解密的，最後的連線串明文都是存放在 OleDbHelper.ConnectionString 這個靜態變數中，對吧！接下來的問題就是有沒有辦法把程式中的這個靜態變數給挖出來？你說的對，就是抓程式的 dump檔案用 windbg 去挖。

三：使用 windbg 去脫庫

1. 思路

要想挖出 OleDbHelper.ConnectionString，其實也很簡單，在 CLR via C# 第四章中關於物件型別和型別物件的解讀有這麼一張圖，很經典。

從上圖中可以看到，靜態欄位是在 Manager 型別物件 中，例項欄位都是在 Manager 物件 中，對照這張圖，我只需要通過 windbg 找到 OleDbHelper 型別物件，也就是所謂的 EEClass。

2. windbg 挖礦實戰

使用 !name2ee 找到 Decrypt 方法描述符（MethodDesc）


0:000>  !name2ee xxx.Utilities.dll xxx.Utilities.Database.OleDbHelper.Decrypt
Module:      08ed7cdc
Assembly:    xxx.Utilities.dll
Token:       060002aa
MethodDesc:  08ed83b0
Name:        xxx.Utilities.Database.OleDbHelper.Decrypt(System.String)
JITTED Code Address: 048b6af0

上面的 MethodDesc: 08ed83b0 就是方法描述符的地址。

使用 !dumpmd 匯出方法描述符的詳細資訊，找到 OleDbHelper型別物件的 EEClass 地址


0:000> !dumpmd 08ed83b0
Method Name:  xxx.Utilities.Database.OleDbHelper.Decrypt(System.String)
Class:        08ecab30
MethodTable:  08ed8468
mdToken:      060002aa
Module:       08ed7cdc
IsJitted:     yes
CodeAddr:     048b6af0
Transparency: Critical

上面的 Class: 08ecab30 就是 OleDbHelper型別物件在堆上的記憶體地址。

使用 !dumpclass 匯出 Class: 08ecab30 ，從而找到 OleDbHelper類的靜態欄位


0:000> !dumpclass 08ecab30
Class Name:      xxx.Utilities.Database.OleDbHelper
mdToken:         02000033
File:            D:\code\A18001\Source\Main\TunnelClient\bin\Debug\xxx.Utilities.dll
Parent Class:    795115b0
Module:          08ed7cdc
Method Table:    08ed8468
Vtable Slots:    4
Total Method Slots:  6
Class Attributes:    100081  Abstract, 
Transparency:        Critical
NumInstanceFields:   0
NumStaticFields:     2
      MT    Field   Offset                 Type VT     Attr    Value Name
799bfd60  4000152       74        System.String  0   static 04c28270 ConnectionString
799bfd60  4000153       78        System.String  0   static 04c299e8 SecurityConnectionString

從上面匯出資訊中可以看到 OleDbHelper類中有兩個靜態欄位： ConnectionString 和 SecurityConnectionString。

使用 !do 列印出兩個靜態欄位

看到沒有，上圖中的兩個紫色框框就是明文的 ConnectionString 哈，怎麼樣？ ?不?。

四：總結

當認識到上面的兩種脫庫方式，你應該就能想到，其實你在程式中連線資料庫，這本身就是一種錯，作業系統都能給你盜版，何況你這區區一個小軟體？個人覺得完全杜絕的方式那應該就是：滅掉本地的sqlserver，讓所有的資料獲取都由遠端的 webapi 提供，當然這又是在脫離業務聊技術啦！???

如您有更多問題與我互動，掃描下方進來吧~

tomcat中主配置檔案連線資料庫
2011-04-25
Tomcat資料庫
資料庫的連線串
2004-08-24
資料庫
「資料庫、資料庫連線池、資料來源」這些概念你真的理解了嗎？
2023-04-22
資料庫
[20190102]連線串不配置服務名能連線資料庫嗎.txt
2019-01-02
資料庫
jboss中的幾個配置檔案，你搞清楚了嗎？
2005-04-11
為什麼連線資料庫的埠號與配置檔案中的埠號不一致？
2024-03-26
資料庫
【LISTENER】資料庫連線串的幾種寫法
2017-09-28
資料庫
你選對儲存結構了嗎？你會玩UVM配置資料庫了嗎？
2020-09-25
資料庫
前腳剛往資料庫插入資料，後腳就查不出來？
2020-10-16
資料庫
Mybatis配置資料庫連線
2021-05-13
MyBatis資料庫
solr連線資料庫配置
2014-11-30
Solr資料庫
[zt] JDBC連線Oracle RAC的連線串配置
2008-10-29
JDBCOracle
資料來源連線資料庫
2011-12-11
資料庫
配置postfix和dovecot啟用SSL以加密連線
2017-11-04
加密
Java讀取properties檔案連線資料庫
2018-09-14
Java資料庫
單例設計模式中使用dom4j來完成(資料庫配置檔案)xml的解析，並完成資料庫的連線
2012-08-08
單例設計模式資料庫XML
PLSQL連線oracle資料庫配置
2012-12-11
SQLOracle資料庫
JNDI配置資料庫連線池
2012-07-06
資料庫
.net 資料庫連線池配置
2013-03-26
資料庫
使用ssh tunnels加密連線oracle資料庫
2009-11-13
加密Oracle資料庫
Spring系列之資料來源的配置資料庫資料來源連線池的區別
2020-09-20
Spring資料庫
jive的資料庫連線配置問題
2004-07-26
資料庫
使用 SSL 加密的 JDBC 連線 SAP HANA 資料庫
2021-11-10
加密JDBC資料庫
請關掉你的資料庫連線!並且請使用資料庫連線池
2016-04-08
資料庫
oracle資料庫的配置檔案
2018-05-28
Oracle資料庫
setup中為何資料庫連線不上那
2003-12-23
資料庫
年底了，你的資料庫密碼安全嗎
2021-01-07
資料庫密碼
PHP中的資料庫連線方法
2020-12-24
PHP資料庫
11 配置加密連線
2021-11-04
加密
mysql資料庫連線池配置教程
2021-09-09
MySql資料庫
ORACLE 配置連線遠端資料庫
2018-03-26
Oracle資料庫
你的.vue檔案就已經是你的文件了
2018-10-24
Vue
新版本一定要用PDO才能連線資料庫了嗎？
2019-05-11
資料庫
druid資料庫連線池的配置類
2022-01-18
UI資料庫
SpringMVC連線多資料來源配置
2017-04-14
SpringMVC
PostgreSQL連線串URI配置(libpq相容配置)
2017-09-17
SQL
EasyExcel庫來讀取指定Excel檔案中的資料
2024-03-28
Excel
如何正確設定資料庫連線池的大小？我的天，原來之前都設定錯了！
2019-05-08
資料庫