ODAT (Oracle Database Attacking Tool) es una herramienta de código abierto para comprobar la seguridad de una base de datos Oracle de forma remota.
Ejemplos de uso de ODAT:
- tienes una base de datos Oracle escuchando remotamente y quieres encontrar SIDs válidos y credenciales para conectarte.
- tienes una cuenta válida en una base de datos Oracle y quieres escalar privilegios (por ejemplo SYSDBA)
- tienes una cuenta válida en una base de datos Oracle y quieres ejecutar comandos en el sistema operativo que la hospeda (por ej. para un shell inverso)
Características:
- buscar un SID válido en un listener remoto a través de: un ataque de diccionario / un ataque de fuerza bruta / ALIAS del listener
- buscar cuentas de Oracle usando: un ataque de diccionario / cada usuario de Oracle como la contraseña
- ejecutar comandos de sistema en el servidor de base de datos mediante: DBMS_SCHEDULER / JAVA / tablas externas / oradbg
- descargar los archivos almacenados en el servidor de base de datos mediante: UTL_FILE / tablas externas / CTXSYS
- subir archivos en el servidor de base de datos mediante: UTL_FILE / DBMS_XSLPROCESSOR / DBMS_ADVISOR
- borrar archivos usando: UTL_FILE
- enviar/recibir peticiones HTTP desde el servidor de base de datos usando: UTL_HTTP / HttpUriType
- escanear puertos del servidor local o un servidor remoto usando: UTL_HTTP / HttpUriType / UTL_TCP
- explotar el CVE-2012-313 (http://cvedetails.com/cve/2012-3137)
Instalar/Dependencias
ODAT es sólo compatible con Linux. Existe una versión standalone con el fin de no tener que instalar las dependencias y sqlplus (ver la carpeta de compilación del git). El ODAT standalone se generó mediante PyInstaller.
Si quieres tener la versión de desarrollo, son necesarias las siguientes herramientas y dependencias:
- Lenguaje: Python 2.7
- dependencias de Oracle : Instant Oracle básica Instantáneas y sdk Oracle
- Bibliotecas de Python: cx_Oracle con las siguientes recomendadas - colorlog / termcolor / argcomplete / PyInstaller
Puede descargar ODAT standalone aquí:
32-Bit – odat-linux-libc2.19-i686.tar.gz
64-Bit – odat-linux-libc2.19-x86_64.tar.gz
O lee más información aquí.
Fuente: ODAT (Oracle Database Attacking Tool) – Test Oracle Database Security
Ejemplos de uso de ODAT:
- tienes una base de datos Oracle escuchando remotamente y quieres encontrar SIDs válidos y credenciales para conectarte.
- tienes una cuenta válida en una base de datos Oracle y quieres escalar privilegios (por ejemplo SYSDBA)
- tienes una cuenta válida en una base de datos Oracle y quieres ejecutar comandos en el sistema operativo que la hospeda (por ej. para un shell inverso)
Características:
- buscar un SID válido en un listener remoto a través de: un ataque de diccionario / un ataque de fuerza bruta / ALIAS del listener
- buscar cuentas de Oracle usando: un ataque de diccionario / cada usuario de Oracle como la contraseña
- ejecutar comandos de sistema en el servidor de base de datos mediante: DBMS_SCHEDULER / JAVA / tablas externas / oradbg
- descargar los archivos almacenados en el servidor de base de datos mediante: UTL_FILE / tablas externas / CTXSYS
- subir archivos en el servidor de base de datos mediante: UTL_FILE / DBMS_XSLPROCESSOR / DBMS_ADVISOR
- borrar archivos usando: UTL_FILE
- enviar/recibir peticiones HTTP desde el servidor de base de datos usando: UTL_HTTP / HttpUriType
- escanear puertos del servidor local o un servidor remoto usando: UTL_HTTP / HttpUriType / UTL_TCP
- explotar el CVE-2012-313 (http://cvedetails.com/cve/2012-3137)
Instalar/Dependencias
ODAT es sólo compatible con Linux. Existe una versión standalone con el fin de no tener que instalar las dependencias y sqlplus (ver la carpeta de compilación del git). El ODAT standalone se generó mediante PyInstaller.
Si quieres tener la versión de desarrollo, son necesarias las siguientes herramientas y dependencias:
- Lenguaje: Python 2.7
- dependencias de Oracle : Instant Oracle básica Instantáneas y sdk Oracle
- Bibliotecas de Python: cx_Oracle con las siguientes recomendadas - colorlog / termcolor / argcomplete / PyInstaller
Puede descargar ODAT standalone aquí:
32-Bit – odat-linux-libc2.19-i686.tar.gz
64-Bit – odat-linux-libc2.19-x86_64.tar.gz
O lee más información aquí.
Fuente: ODAT (Oracle Database Attacking Tool) – Test Oracle Database Security
Comentarios
Publicar un comentario