Oracle弱口令渗透五部曲!

最新推荐文章于 2024-07-05 14:15:23 发布
最新推荐文章于 2024-07-05 14:15:23 发布
阅读量1k 收藏 2
点赞数
分类专栏: 安全开发 逆向漏洞 web安全 实战篇 文章标签: Oracle弱口令渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kclax/article/details/91511267
版权
实战篇 同时被 3 个专栏收录
167 篇文章 4 订阅
订阅专栏
安全开发
153 篇文章 18 订阅
订阅专栏
web安全
97 篇文章 10 订阅
订阅专栏

在这里插入图片描述
1.NMAP 扫描开放的常见端口,nmap4.9版本已经支持oracle tns 版本探测,可以方便的知道oracle版本信息
在这里插入图片描述
2.查找sid信息,可以通过访问isqlplus,使用账户dbsnmp/dbsnmp/来登录 这里oracle设计的isqlplus有一个Bug
可以不需要输入sid信息来登录,然后执行查询语句得到sid
在这里插入图片描述
3.得到SID后呢,使用sqlplus登录,通常的话用scott/tiger登录,因为这个账户具有resource权限
在这里插入图片描述
4.然后再使用sql injection 提权到dba
在这里插入图片描述
在这里插入图片描述
5.调用pl/sql 执行系统命令
在这里插入图片描述
在这里插入图片描述

Coisini、
关注
专栏目录
超级弱口令检查工具
04-10
Windows平台的弱口令审计工具,支持批量多线程检查,可快速发现密码弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典。工具采用C#开发,需要安装.NET Framework 4.0,工具目前支持SSH、RDP、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服务的弱口令检查工作。
超级弱口令检查工具V1.0
12-08
工具采用C#开发,工具目前支持检查SSH,FTP,MySQL,SQLServer,Oracle,MongoDB,PostgreSQL等服务的弱口令问题。
干货丨渗透测试常用方法总结,大神之笔!_数据库渗透测试
最新发布
2401_84578953的博客
07-05 1210
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
弱口令攻击
03-11
使用网络安全扫描工具X-Scan进行安全扫描,破解本地用户名、口令以及远程用户名、口令的方法。
Oracle 10g弱口令攻击
zhangye20851的专栏
10-20 1572
2011-01-08 13:52:44|  分类: Hack everything! |  标签:java  rc  oracle  bufsize  int   |字号大中小 订阅   最近网速又是ungeliveble了…… "全民上网,决不BT下载!”这是局域网用网宗旨啊!无奈,好多童鞋就下载,而且全是一些烂电视剧,一不小心就是好几G,几十G,10M的网
oracle弱口令,oracle弱口令校验规则
weixin_33235339的博客
04-09 1582
[oracle@standalone admin]$ pwd/oracle/app/oracle/product/11.2.0.4/rdbms/admin[oracle@standalone admin]$ cat -n utlpwdmg.sql1Rem2Rem $Header: rdbms/admin/utlpwdmg.sql /st_rdbms_11.2.0/1 2013/01/31 ...
oracle 弱口令扫描器,批量扫描弱口令检查工具
weixin_31064267的博客
04-04 1158
【实例简介】弱口令批量扫描工具是一款支持批量多线程检查,可快速发现密码弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典。可进行单IP或域名,也可进行段扫描。【实例截图】【核心代码】49103e1e-079d-4470-9dff-d8811414f67a└── 安恒弱口令扫描工具├── readme.txt└── 超级弱口令检查工具V1.0 Beta17 201...
oracle 弱口令扫描器,超级弱口令检查工具
weixin_30454067的博客
04-04 307
超级弱口令检查工具是一款Windows平台的弱口令审计工具,支持批量多线程检查,可快速发现密码弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典。。相关软件软件大小版本说明下载地址超级弱口令检查工具是一款Windows平台的弱口令审计工具,支持批量多线程检查,可快速发现密码弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典。软...
Oracle弱口令渗透五部曲.doc
04-05
Oracle弱口令渗透五部曲
弱口令字典(ftp/oracle/tomcat/domino)、web目录
04-14
这些给定的文件名表明它们包含了一系列针对不同服务和应用的弱口令字典,包括FTP、Oracle数据库、Tomcat应用服务器、Domino服务器以及Web目录扫描。下面将详细解释这些服务与弱口令关联的知识点。 1. **FTP(File ...
oracle 口令过期
chuangcixu9672的博客
04-20 1870
1、oracle 口令一般默认是180天,当口令过期失效时,会导致没法连接数据库的问题。 2、如何解决: (1)、查看数据库口令是否过期: SQL> select username ,account_status,lock_date,expiry_date f...
后台弱口令检测工具
04-16
后台弱口令检测工具
prometheus监控oracle11,全网最全!!!基于prometheus+grafana体系监控MySQL、Oracle数据库...
weixin_35569211的博客
04-13 5847
一、概述网上找了很多监控开源工具,打算用来监控Oracle、MySQL等数据库,最后选择了Prometheus和Grafana,主要是相对于Zabbix来说,简直不要太友好,本文全部是亲手搭建的,绝非很多博客复制粘贴,同样一篇文章搬来搬去,导致找相关文档的时候简直爆炸,不多哔哔,接下来就讲一下如何搭建Prometheus、Grafana环境以及监控MySQL和Oracle。二、前期环境准备服务器I...
ssh弱口令暴力破解
weixin_45253622的博客
03-28 2407
ssh弱口令暴力破解 ssh (安全外壳协议) SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、L
oracle数据库的渗透测试
爱上卿的博客
01-17 2719
一、数据库端口的安全扫描   首先检测数据库端口的的开放使用namp命令来对目标数据库IP进行端口扫描,命令 如下:nmap -Pn -n -T4 --open -p1521 二、数据库的版本相关信息   再来检查下数据库的版本信息,得到一个存活的oracle数据库服务端口,了解数据库的版本信息非常关键,针对不同的版本会有不一样的测试方式,有不同的安全漏洞,需要不同的poc来对其进行测...
wodat:一款针对Windows Oracle数据库的渗透测试工具
瓦罗兰特顶级C位的博客
01-10 866
wodat是一款功能强大的针对Windows Oracle数据库的渗透测试工具,该工具基于C# .Net Framework开发,能够帮助广大研究人员对Windows平台下的Oracle数据库执行按摩全渗透测试任务。
对于输出点是时间戳的渗透测试方法(以Oracle数据库为例)
qq_58000413的博客
07-13 266
注意:仅用于技术讨论,切勿用于其他用途,一切后果与本人无关。 解决方法:1.盲注2.尝试报错注入and 1=ctxsys.drithsx.sn(1,(select banner from sys.v_$version where rownum=1))3.尝试去转化类型to_nchar 转化为varchar或varchar2类型用法to_nchar(table_name)and 1=2 union select null,null,to_nchar(table_name),null from user_tab
Oracle数据库口令文件的使用和安全考虑
Oracle 口令文件登录机制详解 Oracle 口令文件是一种身份验证机制,用于控制用户登录 Oracle 数据库实例的权限。通过创建口令文件,用户可以使用 SYSOPER 或 SYSDBA 权限登录数据库实例。下面是 Oracle 口令文件的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值