要連接遠(yuǎn)程的 Oracle 數(shù)據(jù)庫，需要知道 SID，用戶名， 密碼，當(dāng)然還有最重要的 IP 地址。SID 如果被管理 員修改的話，可以利用 sidguess 來進行破解，速度非常的快，至于成功與否，就要看你的字典配置了。破解 效果如圖 1。 　



圖 1

　　Oracle 不同的版本有大量的默認(rèn)帳戶密碼。可是有些情況下，Oracle 數(shù)據(jù)庫管理員把默認(rèn)的密碼給修改了， 我們就要選擇暴力破解了 。如果帳戶破解成功 ，登錄上去，是 DBA 權(quán)限的話最好 ，不是的話，也可以利用 Oracle 的一些漏洞進行提權(quán)到 DBA。進入數(shù)據(jù)庫后，我一般選擇的是抓取其他用戶的密碼哈希值，然后本地 Rainbow 破解。如果同網(wǎng)段還有其他的 Oracle 數(shù)據(jù)庫，可以抓包等待其他用戶的 Oracle 登錄驗證，取出敏感 信息，然后破解。進一步擴大戰(zhàn)果。下面我就分別講講這三種破解方法及相關(guān)工具的使用。

　　Quotation

　　有關(guān) Oracle 密碼的基礎(chǔ)知識

　　1、標(biāo)準(zhǔn)的 Oracle 密碼可以由英文字母，數(shù)字，#，下劃線(_)，美元字符($)構(gòu)成，密碼的最大長度為 30 字符;Oracle 密碼不能以"$"，"#"，"_"或任何數(shù)字開頭;密碼不能包含像"SELECT"，"DELETE"，"CREATE"這類的 Oracle/SQL 關(guān)鍵字。

　　2、Oracle 的弱算法加密機制：兩個相同的用戶名和密碼在兩臺不同的 Oracle 數(shù)據(jù)庫機器中，將具有相同的哈希值。這些哈希值存儲在 SYS.USER$表中?？梢酝ㄟ^像 DBA_USERS 這類的視圖來訪問。

　　3、Oracle 默認(rèn)配置下，每個帳戶如果有 10 次的失敗登錄，此帳戶將會被鎖定。但是 SYS 帳戶在 Oracle 數(shù)據(jù)庫中具有最高權(quán)限，能夠做任何事情，包括啟動/關(guān)閉 Oracle 數(shù)據(jù)庫。即使 SYS 被鎖定，也依然能夠訪問數(shù)據(jù)庫。

　　一、遠(yuǎn)程暴力破解

　　由前面的基礎(chǔ)知識 3，可以得知選擇遠(yuǎn)程破解 Oracle 的最好帳戶是 SYS，因為此帳戶永遠(yuǎn)有效。在 Oracle10g

　　以前的版本在安裝的時候并沒有提示修改 SYS 的默認(rèn)密碼，Oracle10g 雖然提示修改密碼了，但是并沒有檢查密碼的復(fù)雜性。如圖2　



圖 2

　　可以使用 Orabrute 工具來進行遠(yuǎn)程破解，在使用這個工具的時候，需要系統(tǒng)提前安裝好 Sqlplus，該工具的 原理很簡單，就是不停的調(diào)用 Sqlplus 然后進行登錄驗證，帳戶選擇的是 SYS，密碼則為 password.txt 中的密 碼單詞。只要登錄成功 ，就會調(diào)用 selectpassword.sql 腳本抓取出在 SYS.USER$表中的其他用戶的哈希值 ， 然后退出程序。這里有個注意的地方，當(dāng)?shù)诙芜\行 Orabrute 的時候，需要刪除或移動同目錄下的前一次運行 Orabrute 時生成的 thepasswordsarehere .txt 和 output.txt 文件。

　　Orabrute 的使用方法為：

　　orabrute

　　效果如圖 3，4　



圖 3　



圖 4 Orabrute 的破解速度比較慢，我們可以采取變通的方法來破解，如果 Oracle 的數(shù)據(jù)庫版本為 Oracle10g。默 認(rèn)自帶個通過 8080 端口來遠(yuǎn)程管理數(shù)據(jù)庫的 WEB 接口，如圖 5　



圖 5

　　當(dāng)我們訪問 http://ip:8080/oradb/public/global_name 時，會彈出認(rèn)證信息，這種 HTTP 的基本驗證，有好 多的工具可以快速破解，可以選擇著名的 Hydra，我這里選擇的是圖形界面的 wwwhack，設(shè)置好用戶名為 SYS， 選擇字典，就可以破解了。速度要比通過 Orabrute 來破解快許多。效果如圖 6 所示



圖 6

最新評論