一.概要
本文主要目的,希望通过分享解密方法引起相关人士对网络安全的重视。数据库安全绝不单只数据库本身的安全,和数据库所处的整个环境都有密切关系。
本 文所说的破解oracle9i、oracle10g、oracle11g密码,特指通过对oracle数据库和客户端之间通讯包进行处理破解出 oracle密码明文,这有别于对oracle数据库中存储的16位密码进行破解。截获网络信息往往比登入数据库找到密码密文更易操作、更难防范、隐秘性 更高。
本文会说明oracle最常见的3个版本的具体算法,但是不会揭露算法内部细节。
二.背景
随 着信息通讯的发展,网络变得越来越复杂,同时也越来越不安全。如下图所示:从客户端到数据库的过程中,攻击者有越来越多的攻击目标选择。无论在哪一环节成 功对网络进行拦截或者监听都会获得oracle数据库和客户端之间的通讯包。如果通讯包中恰好含有用户信息,如果不进行加密处理这将是灾难性的事件。本文 依oracle的3个版本为例(9i 10g11g)。分别说明核心通讯内容加密的方法和发展趋势。
三.oracle加密原理
当 Oracle发起接后,Oracle客户端向oracle数据库发送自己版本号,包含的加密算法等信息。最终2边确定使用什么加密算法。然后进行 O3logon验证。O3logon验证是一种查询-响应协议,他利用DES加密技术保护这个会话的密钥(sesskey),保证sesskey不会在网 络中传输,所以即使有人监听网络也不会暴露核心密钥。其中O3logon验证的核心是sesskey。
首先服务器通过oracle_hash(不同的版本不一样,在9i中是用户名+密码,再进行sha1运算)和sesskey(一个随机数)算出服务器端的S_auth_sesskey.
客户端拿到服务器的S_auth_sesskey后通过手上的散列值(这个散列值是用与服务器端一样的方法计算的orcale_hash)算出数据库所选择的随机sesskey。
客户端使用sesskey 生成新的散列值,以该值为密钥与明文password进行运算得到秘文password; 然后将秘文password发送到服务器端。
服务器端收到password;通过sesskey生成散列值密钥,对秘文password进行解密得到密码明文,如果与库中存储一致则登陆成功。(参见下图)
四.实例
上面主要是原理的说明,下面就3个版本的数据库进行分别说明(他们既有相同,也有不同的地方)。
oracle9i:
本文默认你已经通过某些方式取得了一个含有Oracle登录信息的网络通讯包。省略掉前面和破密关系不大的信息在数据包中寻找到3个相关信息分别是数据库发送给客户端的AUTH_SESSKEY 、用户名明文和AUTH_PASSWORD。
客 户端在得到auth_sesskey后,客户端运算出oracle_hash ,首先对orcale_hash做SHA1运算会得到服务器端的散列值。以服务器端散列值为密钥进行3DES解密,可以把服务器端发给客户端的 AUTH_SESSKEY转化成本次回话的sesskey。
服务器端在得到auth_password后,把sesskey按照一定的方法做SHA1运算得到客户端散列值。客户端散列值和AUTH_PASSWORD通过3DES可以算出存于数据库中的密码密文。最后客户端散列值和密码密文进行运算可以还原回密码明文。
由 于9i是采用把用户名明文和密码明文按照顺序排列在一起对整个字符串做处理生成oracle_hash。由于添加的参数是固定的所以即使不是同一台数据库 只要加入的账号+密码相同则,他们的sesskey是相同的。例如用户名aabbcc密码ccddee和用户名aabbcccc密码ddee是一样的 sesskey。
参考代码
int ORACLE_Hash (char*username, char *passwd, int passwd_len, unsigned char* oracle_hash)
{
char ToEncrypt[256];
char temp[256];
DES_cblock iv,iv2;
DES_key_schedule ks1, ks2;
int len=0;
int j,ulen,plen;
memset (ToEncrypt,0,sizeof(ToEncrypt));
strupr (username);
strupr (passwd);
ulen = strlen(username);
plen = passwd_len;
for (len=1,j=0; j<ulen; len++,j++)
{
ToEncrypt[len] = username[j];
len++;
}
for (j=0; j<plen; len++,j++)
{
ToEncrypt[len] = passwd[j];
len++;
}
len=len-1;
memset (iv,0,8);
memset (iv2,0,8);
DES_set_key((DES_cblock*) deskey_fixed, &ks1);
DES_ncbc_encrypt((unsigned char*) ToEncrypt, (unsigned char*)temp, len, &ks1, &iv, DES_ENCRYPT);
DES_set_key((DES_cblock*) &iv, &ks2);
DES_ncbc_encrypt((unsigned char*) ToEncrypt, (unsigned char*)temp, len, &ks2, &iv2, DES_ENCRYPT);
memcpy (oracle_hash,iv2,8)
return TRUE;
}
