Infos

Sie befinden sich aktuell in den Alexander Kornbrust Oracle Security Blog dt. Blog-Archiven für den folgenden Tag 2 Okt 2007.

Calendar
Oktober 2007
M D M D F S S
« Sep   Nov »
1234567
891011121314
15161718192021
22232425262728
293031  

Archive für 2 Okt 2007

Oracle SQL Injection Cheat Sheet

Die folgende Url enthält ein cheat sheet für Oracle SQL Injection. Nicht vollständig , einige statements sind zu kompliziert. (z.B. SELECT table_name FROM all_tables WHERE TABLESPACE_NAME=’USERS’ or SELECT username, FROM all_users UNION SELECT name, password FROM sys.user$, better: SELECT name, password FROM sys.user$ where type#=1).

THC veröffentlicht den Passwort Cracker “OrakelCrackert” für Oracle 11g

Van Hauser von THC hat mich heute bei einer Tasse Tee darauf aufmerksam gemacht, dass vonjeek/THC am 26. September einen Password Cracker für Oracle 11g auf der THC Webseite namens OrakelCrackert veröffentlicht hat. OrakelCrackert überprüft ungefähr 400.000 SHA-1 Passworte/Seckunde auf meinem 2 GHz Core2Duo und ist damit genauso schnell wie checkpwd 2.0, das nächste Woche veröffentlicht wird.

THC Orakelcrackert 1.00


An dieser Stelle stand bis vor kurzem, dass THCGuesser die Passwortliste von checkpwd verwendet. Dies ist nicht richtig. An dieser Stelle nochmal Entschuldigung für diese falsche Behauptung.

Weiterhin richtig ist und bleibt, dass das “Ausleihen” von Textdateien öfters praktiziert wird, z.B. bei der von mir zusammengestellten Liste von Standard SIDs (z.B. von sidguesser von Cqure bzw. ora-getsid von NGS Software oder dem russischen Tool coss). Diese Tools verwenden meine Liste, die auch meine privaten SIDs meiner Testsysteme enthalten ….

Neue Version von Sidguess

Gestern habe ich eine aktualisierte Version von sidguess für Windows und MacOS hochgeladen. In dieser Version (1.0.2) funktioniert nun der Brute Force Modus zum Erraten der SIDs korrect.

|