На страницах
журнала мы не
раз писали про
анализ MySQL и
MSSQL-серверов
на предмет
наличия
уязвимостей, да
и в Сети
информации на
эту тему — хоть
отбавляй. Но в
случае с Oracle
все не так
просто, ведь
найти надежный
инструмент для
поиска багов в
этой СУБД до
недавнего
времени было
проблемно.
Почему до
недавнего? Ответ
на вопрос
кроется в утиле
«ORACLE SECURITY
TOOLS», о
предназначении
которой нетрудно
догадаться по
названию. Тулза
позволяет
имитировать
проникновение в
СУБД, используя
при этом ряд
известных
уязвимостей и
сплойтов. Из
особенностей
можно выделить:

  1. Повышение
    привилегий
    пользователя
    Oracle
  2. Проверка
    валидности
    дефолтных
    паролей
    Oracle
  3. Выполнение
    PL/SQL кода
  4. Повышение
    привилегий в
    ОС Windows
    2000/XP/2003
    (добавить
    локального
    пользователя
    с правами
    администратора
    и
    возможностью
    удаленного
    подключения)
  5. Проникновение
    в ОС и
    выполнение
    команд с
    правами
    администратора
    системы

Чтобы
протестировать
Oracle, тебе
необходимо:

  1. Слить
    утилу с
    нашего
    диска, либо
    с офсайта (http://securetools.ru)
  2. Запустить
    тулзу
  3. Выбрать
    версию СУБД
    и сплойт
  4. Указать
    необходимые
    для коннекта
    данные
    (логин,
    пасс, etc) и
    подключиться
    к СУБД
  5. При
    необходимости
    выполнения
    PL/SQL-кода
    вбиваем код
    в
    соответствующем
    окошке и
    жмем
    «Выполнить»

Утила имеет
гуишный
интерфейс, так
что проблем с ее
эксплуатацией
возникнуть у
тебя не должно
:).

Оставить мнение

Check Also

Ручная распаковка. Вскрываем кастомный пакер на примере вымогателя GlobeImposter 2.0

При реверсе вирусов зачастую обнаруживается, что малварь накрыта какой-нибудь «навесной» з…