找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2238|回复: 0
打印 上一主题 下一主题

oracle扫描提权工具+演示

[复制链接]
跳转到指定楼层
楼主
发表于 2013-7-13 19:12:11 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
http://pan.baidu.com/share/link? ... 6&uk=24187146378 i, p6 @! [( t& ]# E" Q9 R; n/ w
/ O! U1 q6 J* n/ `. v0 Z( J
..\OrcleScan\OracleScan.exe 主程序 MD5:67feed51ac4fee3c06cbb82beb274a21$ G  d/ F# J) h5 C% k
    ..\OrcleScan\accounts.txt   账号密码字典(登陆时用 格式:账号/密码)& Y2 u  J3 q! ]( j
    ..\OrcleScan\passwords.txt  密码字典(破解HASH用)) ]7 M2 n5 N7 s% l
    ..\Oracle9i\oracle9i310.msi Oracle9i客户端精简版(自带sqlplus界面版与命令行版) 这个有没有毒我可不能保证 自个在用8 g# t. F; F: E9 @: i# m- \
    ..\Video\OracleScanVideo.exe 演示过程
) j* |  t' D% \. Y, _8 O1 x
1 T4 m# p0 ~% j功能:
" J7 d7 T5 c/ ~0 O) x. H- ?) `5 b    1、自动获取Oracle Sid
) B/ U* R7 r! n; I* ?# _    2、利用常见或默认账号口令登陆 (accounts.txt)& {6 ]- |$ @7 T9 ?: z" w
    3、登陆后尝试获取DBA_USERS表中Account_Status[OPEN]账号与口令列表
% c7 g& I, q6 e. q" ]' H    4、尝试破解ORACLE PASSWORD HASH (passwords.txt)
* C$ s* T5 l3 i( d- p) \    5、自动划分WINDOWS、LINUX+ D$ v$ S* c! r0 P2 I
    6、自动保存日记
7 z4 I# z. M& U; g9 o. C' b' d$ [
6 I5 r& r1 U) ?3 x; @使用:
- }- [8 F" L8 s: T: a4 {/ k/ N    1、请安装Oracle客户端(扫描器要利用Oracle环境)9 \+ ?  U( G7 d
    2、利用OracleScan.exe获取有权限的账号与口令
$ C7 z& O! W3 P4 V" Q( I1 _    3、可直接用SQLPLUS登陆(扫描器成功获取后会自动添加有关信息到..\network\ADMIN\tnsnames.ora中 减少象演示中的BAT所做copy tnsnames.ora 步骤
! w/ [+ a0 f  p4 b1 N; J' E: O& ^9 @( l
常见问题:& W% M" V5 p# x% A9 H

! M6 m3 P- u- u; q7 P) O$ G    1、问:是WINDOWS系统为什么添加不了系统账号?(所畏的提权)0 y% \  z0 V7 I) y
1 ~6 _. P  B( b7 m' Y8 O7 n* {
       答:连接账号权限问题或对方没有开启JAVA(本人也是菜鸟)6 u2 K+ I7 C' y
      
' x) t6 I3 C' b4 S$ T    2、问:是LINUX该怎么办?. m, e# E  e6 I# o
     
5 b7 ]" K; Y( n# ^       答:这个我也不清楚。会的话教我吧
8 I2 M: t0 g% e& W
, t# t$ b0 M% T  m* }# t- E3 p; I& d    3、问:为什么破不了ORACLE PASSWORD HASH?
" O+ q  A) N7 _4 m, w      % n8 ~4 V6 d6 k- t% H
       答:确定你的字典文件(passwords.txt)足够大 要不然你也可以用老外的orabf等软件跑跑看.
: b7 D# Y! M' Y8 N     H# n1 ]& m9 ~  g) V
    4、问:为什么有这么多BUG?
% }% s& ?; K- |( I* ]! t. T) S& I  : I' ~8 D8 l, Q+ n! E7 @
       答:关于数据库这类.我确实是个白痴.所以也不要怪我.无知者无罪 有什么建议到我BLOG留言
9 r4 T" j4 Z1 l1 Y   
6 r1 q& M& Z- g9 P& z2 F    5、问:装B吧!这不是XXX或YYY修改的吗?0 J* q' Y, P: B
     # ?( ?4 A# a" H$ z
       答:我就是传说中最美女黑客.我怕谁?9 W! u) F4 I) f% O

1 F4 o! c; b# T; y   3 D% U5 V( P+ F
      
9 u6 \) I- C/ c, \$ a" D0 V4 o! b8 ?: c2 ^! z/ O( j6 g
注:
/ B0 i8 N, \7 l) C" q; `8 X    感谢Robert提供ORACLE相关语法资料等等(不懂数据库类). ]/ V+ g8 E- T* M9 F1 T7 y, B
    曾经很天真的尝试修改SQLPLUS以HASH登陆..逆向发现并不可行.呵呵.很傻很天真..
, a0 S1 T6 J8 }! q; X    程序在4月份完成...鄙视某些滚蛋说我拿这个骗钱..............................
1 m, ~% D3 N' V8 p+ W
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表