类型：文件处理大小：209KB语言：中文评分：7.0标签:立即下载帮助姐姐解决一个SAP B1的问题。问题是：SAP B1包含一个公司的数据，这个公司有一个用户。如何修改这个用户的名字？我已经能猜到这会发生什么。我之前没有接触过SAP B1，所以花了一点时间才找到下载。ftp2.sjtu上只有miniSAP 6.1，太老了，仅次于他们正在使用的SAP Business One 2005b(中文版7.0)。这个资源在网上好像很难找到，最后在一个网盘(有趣的盘)上找到了一个。后来在找参考书的时候，偶然发现一本书附带的光盘上有预装版本，但功能有限。感谢图书馆的光盘镜像检索系统。姐姐给了我一个64.8MB无后缀的备份文件。这个文件不知道怎么备份还原，也不好意思问，只好自己琢磨了。在SAP B1中寻找备份和恢复功能，我不这么认为。然后我试着用二进制编辑器打开，希望能看到一些线索，但是又失败了。在折腾SAP B1的过程中，我对这个东西有了一点了解。这个东西的后端存储依赖于数据库，前端是一个外壳。安装后的SQL Server 2000中额外的两个数据库SBO-comes和SBODemo _ China是SBO全局配置信息和“北京海城电子公司”的信息。那么很自然地猜测这个文件可能是数据库的备份，它要么是一个SQL文件，要么是一个私有的二进制格式。测试一下。将SBODemo_China备份为文件。备份完成后，我已经知道我猜对了，因为文件大小基本相同。二进制打开，文件头中的幻数为TAPE，与原文件一致，猜测基本正确。然后随机新建一个数据库，还原备份数据，表结构与SBODemo_China一致，验证猜测。剩下的问题是如何在公司和这个数据库之间建立连接。直接猜测是关系(公司、数据库名称)应该存储在SBO-COMMONS数据库中，这个数据库中的表不多，就一个一个来看。很容易发现它存在于dbo中。SRGC桌。从这些表名的混乱程度来看，显然是被搞混了。在这里新建一个(或者修改现有的)，就可以从SBO登录这个公司了。数据库是还原的数据库。知道了这些通信的管理位置，您就可以执行各种操作。例如，您可以将一家公司的数据反转到另一家公司，只要它在两个数据库之间反转即可。有许多方法可以反转数据。sql Server的企业管理器具有导入和导出数据的功能，也可以将数据库备份为文件(二进制或sql)，然后将其还原到另一个数据库。下一个问题是修改用户名。可以猜测，由于一家公司的所有信息都存储在这家公司的数据库中，所以用户信息一定存在于某个地方。继续从SBODemo _ China开始。扩展数据库后我傻眼了。960表和表名也很混乱，所以我无法像SBO-comes那样逐个检查。我后来想出的办法是查看SBODemo _ China的日志，活该微软失败(嗯，我说我以前的准雇主不太好。)，ldf文件格式关闭。谷歌买了第三方工具，太可怕了。然后试着看看新版本的sql server是否能提供类似的功能，使用SQL Server 2008 R2快递，但是还是失败了。顺便说一下，当连接管理工作室时，服务器应该填写(本地)sqlEXPRESS，也就是说，应该指定主机和SQL实例。再谷歌一下，找到一个没有文档的SQL Server命令，dbcc。说白了，无证就是微软不需要为这些命令提供支持服务，可以随意折腾这些命令，包括在下一个版本中随时删除。语法是dbcc日志(SBODemo_China，3)，第一个参数是db-name，第二个是info-level。更多dbcc功能，请谷歌。

然后，打开SBO，用任何用户登录。SBO总是要查看数据库中保存用户的表吗？果然，日志的最后几个条目在名为dbo的访问表中。当你看到这个名字时，你会找到它。这个表中的字段名没有像以前一样混淆。从字段名称和现有用户信息中，很容易理解每个字段的含义。要修改用户名，直接在这里修改即可。USER_CODE是登录用户名，U_NAME是显示用户名。到目前为止，目的已经达到，但是当我们看到它旁边的PASSWORD字段时，还是忍不住担心。甚至在PASSWORD字段之后，还有PASSWORD1和PASSWORD2。也许是历史设计的遗迹。如果您在SBO中更改密码，此处的值将会更改。用眼睛是看不到对应关系的。您可能想反转SBO的主程序，看看密码如何转换，以获得这里的密钥字符串。这个过程是标准的(见之前的博文)，比如PKCS 5号。但说实话，我对IT从业人员的安全意识和能力不抱太大希望。此前，CSDN被曝光，用户密码以明文保存；还有，看到一个QQ产品在产品介绍里声称自己的密码是用MD5“加密”的时候，我就叹了口气。虽然没有逆向工程就不知道这个转换过程，即使知道也未必能破解用户的密码(比如在转换过程的某一步使用了SHA-1这样的密码哈希函数)，但还是可以注意到sbo保存的这个(转换后的)密码只和用户的密码有关(当然是废话)，然后是替换攻击(某种意义上的重放攻击)，在实际应用中，SBO的这种设计不会引入太多的安全隐患(如果要修改SBO。南方共同市场，不如直接修改你想修改的其他库)，但在某些场合还是可能带来问题。比如某公司的ERP系统使用的是SBO，但是数据库没有很好的守护。攻击者突破数据库服务器后，可以修改用户密码，然后用用户账号登录，进行各种破坏性操作，然后恢复密码，清理站点(主要是清理sql server日志)。这种精确打击非常致命。与直接修改数据库相比，这种攻击的优势在于可以进行“语义”修改，即带有SBO含义的修改，比如修改某个产品的库存。如果想通过修改数据库直接达到目的，就需要反转库存在数据库中的存储方式，工作量太大。录完之后，再吐槽我。你真的可以因为这个姐姐情绪的起伏，时而忧郁时而狂喜，而她把这个东西清空了两天，从而赢得她的注意。你有没有一瞬间和你迷恋的眼神呆在一起？你没听说佛教有言，要的都是苦，不要的都是乐。