数据库连接池加密_数据库配置文件解密

最新推荐文章于 2023-04-10 17:47:25 发布
最新推荐文章于 2023-04-10 17:47:25 发布
阅读量346 收藏 1
点赞数
文章标签: 数据库连接池加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39525812/article/details/112659116
版权
本文探讨了数据库连接池Druid的配置文件加密解密方法,包括1.0.9版本和1.1.22版本的解密代码。同时,介绍了Weblogic数据源的默认加密,讲解了不同版本Weblogic的密钥位置,以及解密工具和相关资源链接。
摘要由CSDN通过智能技术生成
f794c0b7-3a55-eb11-8da9-e4434bdf6706.svg

数据库配置文件解密

f794c0b7-3a55-eb11-8da9-e4434bdf6706.svg

    在红队项目中,拿到了webshell的我们通常会读取数据库配置文件从而进行下一步的渗透。然而有时候我们会发现,数据库的配置文件被加密了,本期我们就探讨一下常见的数据库连接池druid的配置文件加密和weblogic数据源默认加密的解密方式

No.1

Druid

6b48a8d8087df7b5e8e91555a41443e2.png

看到配置文件名称为dbconfig.properties,首先想到的是druid,瞄一眼lib

d71146206e6aa1cc26c3445bb2185985.png

Druid自带了一个加密用户名密码的小工具

我们尝试加密字符串 test

Java -cp druid-1.1.5.jar com.alibaba.druid.filter.config.ConfigTools test
a9ff6c032d8978d516982aa5209ca83d.png

编写代码进行解密

很简单,只需一行

33449c25a8e75f8a9a0e8e894d101549.png

No.2

源码分析

druid-1.0.9.jar!\com\alibaba\druid\filter\config\ConfigTools.class
5fdd040ec1366e14c9a191ce7b0852ff.png

可以发现1.0.9版本的公私钥已经写死了,所以解密起来十分轻松

0bacfdbf460bc5c138bdd96394acf180.png

两行代码就可以解决

druid 1.0.16版本之后略有不同

f6b59c583cb399ea53d4921480cf955b.png

使用druid的ConfigTools对字符串进行加密会生成RSA的publickey、privateKey及密文

这个时候,直接调用decrypt方法进行解密就会有问题

我这里分析的是1.1.22版本,可以发现新版本中会输出公私钥

bd734bc84b9f48cf6f9b8f806f36867d.png

因为在配置文件中必然得写入公钥,所以。。。

2791642580c35e707d786c9b4c6f58fb.png

No.3

Weblogic

之前护网中有遇到过老版本的,weblogic默认会将例如数据源的密码加密,老版本weblogic默认是3des加密,11g r1后是AES。下面是数据源文件的默认路径

11g r1前 默认路径是

/Oracle/Middleware/user_projects/domains/wl_server/security/boot.properties

之后的版本默认在

/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/security/boot.properties

也有可能会写在域的中心配置文件中

/Oracle/Middleware/user_projects/domains/{DOMAIN_NAME}/config/config.xml

Weblogic不同的数据域下,密钥都不相同,我们主要的工作是找到weblogicSerializedSystemIni.dat

/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat

重复造轮子无聊且浪费生命

网上有很多的分析文章

?文版:

    https://blog.netspi.com/decrypting-weblogic-passwords/

中文版:

    http://bobao.360.cn/learning/detail/337.html

工具

    https://github.com/NetSPI/WebLogicPasswordDecryptor

文章太水了,不好意思开赞赏了,溜了溜了。

下次一定不水了,下次一定。

12d54740a75510d5bf9e4139b6bba323.png

weixin_39525812
关注
数据库连接池密码加密(springboot-jasypt)
余生一个帆的博客
11-30 1215
你的配置文件还在“裸奔”吗? 密码还是明文吗? 如果是的话,那你要小心哦! 因为博主之前外包在一家银行工作,银行对敏感信息有严格要求一律不可使用明文。 1.没有加密时我们的配置文件是这个样子(用户名密码全暴露): 2加密后的配置文件是这个样子: 请问你更喜欢哪一种呢,是不是第二种看着更舒服(存有神秘性,不被让别人一下就看穿你的数据库配置信息)。如果你喜欢第二种,请向下看⤵️ 3.实现加密的步骤...
dat文件解密_数据库配置文件解密
weixin_39913117的博客
11-29 4516
数据库配置文件解密在红队项目中,拿到了webshell的我们通常会读取数据库配置文件从而进行下一步的渗透。然而有时候我们会发现,数据库配置文件加密了,本期我们就探讨一下常见的数据库连接池druid配置文件加密和weblogic数据源默认加密解密方式No.1Druid看到配置文件名称为dbconfig.properties,首先想到的是druid,瞄一眼libDruid自带...
druid数据库连接池加密解密
IT幻彩世界之炫酷
03-16 666
最近比较流行使用阿里巴巴druid的链接池 连接池这里有数据库密码加密的功能   在连接池配置中使用   <property name="connectionProperties" value="config.decrypt=true;config.decrypt.key=${key}" />  config.decrypt=true,表示密码通过加密  config....
AES256 加密 解密 Tomcat连接池数据库密码加密_1
08-31
使用AES256加密技术实现tomcat7对连接池数据库密码加密解密,资源中包含加密小程序,小程序实现加密,tomcat中实现解密,方便客户自己修改数据库密码且是密文!支持多操作系统如:linux mac os 文件太多分成两部分请自行下载1和2
durid连接池数据库密码加密
qq_34754038的博客
08-23 617
1、大家在提交git的时候总是会不小心把自己的密码不小心提交上去了,为了防止这种事情发生,我们在这里利用durid连接池的一个小工具做下处理 2、配置一个bean <property name="passwordCallback" ref="dbPasswordCallback"/> <bean id="dbPasswordCallback" class="com....
tomcat 连接池数据库密码加密
luoyahu
09-14 439
需要修改tomcat下的/common/lib下的commons-dbcp-1.2.1.jar(注意版本号:我这是tomcat 5.5版本)。   准备工作: 先到apache下载commons-dbcp这个包的源代码。 再找个加密类(加密算法我这选DES)     开始: 修改org.apache.commons.dbcp.BasicDataSourceFactory.java这...
tomcat_连接池数据库密码加密解密方法
12-13
其中,数据库连接池作为应用程序与数据库之间的桥梁,扮演着关键角色。然而,当数据库的用户名和密码直接硬编码在配置文件(如Tomcat的`server.xml`)中时,这些敏感信息容易被泄露,从而构成安全隐患。因此,实现...
druid连接池加密解密
最新发布
Somnr00的博客
04-10 988
数据库密码直接写在配置中,不安全,所以不使用明文,Druid提供一种数据库密码加密的手段ConfigFilter.提示:以下是本篇文章正文内容,下面案例可供参考。
SpringBoot配置文件数据库密码加密两种方案(推荐)
08-25
Druid作为流行的数据库连接池,除了提供高性能和监控功能外,还内置了对数据库密码的加密解密机制。 1. **引入依赖**:在`pom.xml`文件中添加Druid的依赖: ```xml <groupId>com.alibaba</groupId> ...
Tomcat连接池加密
IOT之无线网络传输技术
02-22 2497
一、说明 Tomcat配置JNDI数据源时密码是以明文的形式出现在配置文件中,这样存在安全隐患,比较可取的方法是将配置文件用户相关的信息(例如:用户名、密码)进行加密使其以密文形式存在,进行初始化连接池的时候进行解密操作,达到成功创建连接池的目的。(附录是对tomcat加载过程的说明,若对其不明白请先阅读) 二、加密实现方式 第一种方式比较简单,直接修改BasicDataSour
AES256 加密 解密 Tomcat连接池数据库密码加密
08-21
使用AES256加密技术实现tomcat7对连接池数据库密码加密解密,资源中包含加密小程序,小程序实现加密,tomcat中实现解密,方便客户自己修改数据库密码且是密文!
dat文件编辑器
10-10
实现测量dat文件
JavaWeb基盘——连接池加密
热门推荐
张永光的博客
01-18 2万+
连接数据库密码加密 数据库密码,人人可见,没有安全性。 配置文件对连接数据库的密码进行加密,连接数据库时对加密字符串解密。 来源张永光的博客
[SpringCloud]~Druid数据库连接池+加密解密
帝风
12-05 1046
官方文档
数据库如何加密连接
Lifelong learning
12-23 6035
通过阿里巴巴开源的 Druid 实现 MySQL 的密码加密Druid加密过程无需编写任何代码,只需要添加 Druid 依赖,再通过 Druid 的工具类生成密文,最后将密文配置到 application.yml 文件即可。项目在运行时会通过拦截器将密文转换成真正的密码,从而实现了 MySQL 密码的加密和解码的过程。
如何实现Tomcat连接池数据库密码加密
水工鸟的专栏
04-28 4161
问题背景: 快逸报表应用在tomcat应用服务器进行部署时,如果需要调用tomcat配置好的数据库连接池,就不得不把报表数据源连接的密码以明文形式暴露,这样数据库连接的用户名密码都非常容易被获取,是非常不安全的。本文将介绍如何对tomcat数据库连接池配置文件中的密码进行加密处理。   问题解决思路: 将配置文件用户相关的信息(例如:密码)进行加密使其以密文形式存在,进行初始化连接池的时候
Druid连接池自定义数据库密码加解密的实现
weixin_34162401的博客
10-12 53
2019独角兽企业重金招聘Python工程师标准>>> ...
hibernate使用连接池并且处理数据库密码加密
zhao103804的专栏
11-01 1029
hibernate使用连接池并且处理数据库密码加密 明文密码太不安全使用加密吧!~ 在使用 hibernate框架时怎么来处理密码呢? 首先我们要找一个切入点 就是 连接池在什么时间读的配置 这个时候我们解密在给他 看hibernate配置 &lt;property name="hibernate.connection.provider_class"&gt; o...
未知错误75_无法解密!首个利用WinRAR漏洞传播的未知勒索软件(JNEC)分析
weixin_39939993的博客
10-22 188
背景2019年3月17日,360威胁情报中心截获了首个利用WinRAR漏洞(CVE-2018-20250[4])传播未知恶意勒索软件的ACE文件[1]。该恶意压缩文件名为vk_4221345.rar,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后会将内置的勒索软件写入到用户计算机启动项目录中,当用户重启或登录系统都会执行该勒索软件从而导致重要资料被加密。由于该勒索软...
ASP.NET web.config数据库连接字符串加密解密教程
ASP.NET web.config 文件是应用程序的配置文件,其中包含了诸如数据库连接字符串等敏感信息。为了提高安全性,开发者可以对这些数据进行加密。本文档主要介绍了如何在ASP.NET中对web.config中的数据库连接字符串进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值