Öntanımlı Hesaplardan Kapalı ve Açık Olanların Tespit Edilmesi

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Oracle veritabanında SID değerinin tespit edilmesinden sonra sistemde aktif öntanımlı kullanıcı hesaplarının bulunması kaba kuvvet saldırıları için çok önemli bir adımdır. Sürümden sürüme farklılık göstermekle beraber Oracle veritabanındaki kullanıcılar aşağıda listelenmiştir. Bu hesaplardan aktif olmayanları tespit etmek mümkündür.

BI
PM
SH
IX
OE
HR
SCOTT
MGMT_VIEW
MDDATA
SYSMAN
MDSYS
SI_INFORMTN_SCHEMA
ORDPLUGINS
ORDSYS
OLAPSYS
ANONYMOUS
XDB
CTXSYS
EXFSYS
WMSYS
DBSNMP
TSMSYS
DMSYS
DIP
OUTLN
SYSTEM

Amaç:

Kaba kuvvet saldırısı öncesi, sistemde hangi öntanımlı hesapların açık hangilerinin kapalı olduğunun tespit edilmesi.

Araç:

  • Nmap

Lab Senaryosu:

Bu uygulamada nmap “oracle-brute script”i kullanılarak aktif olmayan hesaplar tespit edilecektir. nmap önceden tespit edilmiş SID değeri için varsayılan kullanıcılara yönelik şifre denemeleri yaparken hesapların aktif yada kapalı olduğunu öğrenebilir. Bu script 10G sonrası ürünlerde çalışmamaktadır.

root@bt:/usr/share# nmap --script=oracle-brute --script-args oracle-brute.sid=xporacle 192.168.1.25 -p 1521 
Starting Nmap 6.01 ( http://nmap.org ) at 2014-08-31 21:26 EEST
Nmap scan report for 192.168.1.25
Host is up (0.00019s latency).
PORT 	STATE SERVICE
1521/tcp open  oracle
| oracle-brute:
|   Accounts
| 	CTXSYS:CHANGE_ON_INSTALL - Account is locked
| 	DIP:DIP - Account is locked
| 	DMSYS:DMSYS - Account is locked
| 	EXFSYS:EXFSYS - Account is locked
| 	HR:HR - Account is locked
| 	MDDATA:MDDATA - Account is locked
| 	MDSYS:MDSYS - Account is locked
| 	OLAPSYS:MANAGER - Account is locked
| 	ORDPLUGINS:ORDPLUGINS - Account is locked
| 	ORDSYS:ORDSYS - Account is locked
|     OUTLN:OUTLN - Account is locked
| 	SH:SH - Account is locked
| 	SYSTEM:WELCOME1 - Account is locked
| 	WMSYS:WMSYS - Account is locked
| 	XDB:CHANGE_ON_INSTALL - Account is locked
|   Statistics
|_	Performed 695 guesses in 8 seconds, average tps: 86
MAC Address: 00:0C:29:C3:3B:62 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 13.00 seconds

Görüldüğü üzere bazı hesapların yanında “Account is locked” ibaresi yer almaktadır. Bu şekilde aktif olmayan kullanıcılar tespit edilebilir. Dolayısı ile sürüm bilgisinden yola çıkarak ön tanımlı hesaplardan aktif olmayanlar çıkarılırsa geriye aktif olan hesaplar kalacaktır.

Örneğin burada sysman, system, scott hesapları aktif olduğu tespit edilmiştir.