2 Okt 2007 von Alexander Kornbrust.

Die folgende Url enthält ein cheat sheet für Oracle SQL Injection. Nicht vollständig , einige statements sind zu kompliziert. (z.B. SELECT table_name FROM all_tables WHERE TABLESPACE_NAME=’USERS’ or SELECT username, FROM all_users UNION SELECT name, password FROM sys.user$, better: SELECT name, password FROM sys.user$ where type#=1).

Geschrieben in Allgemein | Drucken | Keine Kommentare »

2 Okt 2007 von Alexander Kornbrust.

Van Hauser von THC hat mich heute bei einer Tasse Tee darauf aufmerksam gemacht, dass vonjeek/THC am 26. September einen Password Cracker für Oracle 11g auf der THC Webseite namens OrakelCrackert veröffentlicht hat. OrakelCrackert überprüft ungefähr 400.000 SHA-1 Passworte/Seckunde auf meinem 2 GHz Core2Duo und ist damit genauso schnell wie checkpwd 2.0, das nächste Woche veröffentlicht wird.

An dieser Stelle stand bis vor kurzem, dass THCGuesser die Passwortliste von checkpwd verwendet. Dies ist nicht richtig. An dieser Stelle nochmal Entschuldigung für diese falsche Behauptung.

Weiterhin richtig ist und bleibt, dass das “Ausleihen” von Textdateien öfters praktiziert wird, z.B. bei der von mir zusammengestellten Liste von Standard SIDs (z.B. von sidguesser von Cqure bzw. ora-getsid von NGS Software oder dem russischen Tool coss). Diese Tools verwenden meine Liste, die auch meine privaten SIDs meiner Testsysteme enthalten ….

Geschrieben in 11g, software, Allgemein | Drucken | Keine Kommentare »

2 Okt 2007 von Alexander Kornbrust.

Gestern habe ich eine aktualisierte Version von sidguess für Windows und MacOS hochgeladen. In dieser Version (1.0.2) funktioniert nun der Brute Force Modus zum Erraten der SIDs korrect.

Geschrieben in Allgemein | Drucken | Keine Kommentare »