注:以上的代码并未使用sha1,而是采用了des,与前文介绍不一致。而且其中deskey_fixed是什么?是下文的fixed31吗?
intORACLE_TNS_Decrypt_Password_9i (unsigned char OracleHash[8], unsigned charauth_sesskey[16], unsigned char auth_password[16], char* decrypted)
{
unsigned char fixed31 [] ={0xA2,0xFB,0xE6,0xAD,0x4C,0x7D,0x1E,0x3D,0x6E,0xB0,0xB7,0x6C,0x97,0xEF,0xFF,0x84,0x44,0x71,0x02,0x84,0xAC,0xF1,0x3B,0x29,0x5C,0x0F,0x0C,0xB1,0x87,0x75,0xEF};
unsigned chartriple_des_key[64];
unsigned char sesskey[16];
unsigned char obfuscated[16];
int PassLen = 16;
ORACLE_TNS_Create_Key_SHA1(OracleHash, 8, fixed31, sizeof(fixed31), 24, triple_des_key);
ORACLE_TNS_Decrypt_3DES_CBC(auth_sesskey, 16, triple_des_key, sesskey);
ORACLE_TNS_Create_Key_SHA1(sesskey, 16, NULL, 0, 40, triple_des_key);
ORACLE_TNS_Decrypt_3DES_CBC(auth_password, 16, triple_des_key, obfuscated);
ORACLE_TNS_DeObfuscate(triple_des_key, obfuscated, &PassLen);
memcpy (decrypted, obfuscated,PassLen);
return PassLen;
}
oracle10g
10g 在9i的基础上进行了很大的改变。同样还是假设我们已经取得一个含有Oracle登录信息的网络通讯包。省略掉前面和破密关系不大的信息在数据包中寻找到 4个相关信息分别是数据库发送给客户端的S_AUTH_SESSKEY、用户名明文、客户端发送给服务器的C_AUTH_SESSKEY和 AUTH_PASSWORD。
首 先假设取得了oracle_hash,这里不同于9i。9i虽然算了2个不同的散列值。但由于2个散列值都是通过固定数据和oracle_hash算出来 的,所以难免被破解,而且效率不高。从Oracle10g开始,Oracle调整了策略,客户端和数据库分别以oracle_hash为基础生成 S_AUTH_SESSKEY和C_AUTH_SESSKEY。
客户端对传过来的S_AUTH_SESSKEY。做AES128解密处理拿到server_sesskey。把server_sesskey和自己的client_sesskey做md5生成combine。用combine生成AUTH_PASSWORD。
服务器端最后用combine对AUTH_PASSWORD解密。对比密码,如果一致登陆成功。
10g在对于sesskey的处理上取得了长足的改善,但是对oracle_hash的产生上依旧延续了9i的方式。采用用户名和密码进行拼接组成最关键的字符串。对该字符串进行DES处理。
参考代码
intORACLE_TNS_Decrypt_Password_10g (unsigned char OracleHash[8], unsigned charauth_sesskey[32], unsigned char auth_sesskey_cli[32], unsigned char* auth_password,int auth_password_len, char* decrypted)
{
int passlen = 0;
unsigned char aes_key_bytes[32];
unsigned char decrypted_server_sesskey[32];
unsigned char decrypted_client_sesskey[32];
unsigned char combined_sesskeys[16];
char decrypted_password[64];
memset (aes_key_bytes,0,sizeof(aes_key_bytes));
memcpy (aes_key_bytes,OracleHash,8);
ORACLE_TNS_Decrypt_AES128_CBC (aes_key_bytes, auth_sesskey, 32,decrypted_server_sesskey);
ORACLE_TNS_Decrypt_AES128_CBC (aes_key_bytes, auth_sesskey_cli,32, decrypted_client_sesskey);
ORACLE_TNS_Combine_SessKeys (&decrypted_server_sesskey[16],&decrypted_client_sesskey[16], combined_sesskeys);
ORACLE_TNS_Decrypt_AES128_CBC (combined_sesskeys, auth_password,auth_password_len, (unsigned char*) decrypted_password);
passlen = terminate_ascii_string (&decrypted_password[16],auth_password_len-16);
if (passlen!= -1)
strncpy (decrypted, &decrypted_password[16], passlen);
return passlen;
}
oracle11g
11g 在10g的基础上进行了一定的改变。同样还是假设我们已经取得一个含有Oracle登录信息的网络通讯包。省略掉前面和破密关系不大的信息在数据包中寻找 到4个相关信息分别是数据库发送给客户端的S_AUTH_SESSKEY、AUTH_VFR_DATA、客户端发送给服务器的 C_AUTH_SESSKEY和AUTH_PASSWORD。
依 旧假设取得了Oracle_hash,11g基本同于10g,客户端和数据库分别以Oracle_hash为基础生成S_AUTH_SESSKEY和 C_AUTH_SESSKEY。客户端对传过来的S_AUTH_SESSKEY。做AES192解密处理拿到server_sesskey。把 server_sesskey和自己的client_sesskey做md5生成combine。用combine生成AUTH_PASSWORD。服务 器端最后用combine对AUTH_PASSWORD解密。对比密码,如果一致登陆成功。
11g 最大的变化在生成Oracle_hash上采取了和10g不同的策略。Oracle 11g为了提高Oracle_hash的安全性,多引入了AUTH_VFR_DATA这个随机值。取消了明文用户名。每个会话的 AUTH_VFR_DATA都不同。从根本上避免9i、10g同字符串(用户名+密码组成的字符串)带来的无论哪台机器oracle_hash一致的巨大 安全隐患。
参考代码
void ORACLE_MixCase_Hash (char*passwd, int passwd_len, unsigned char salt[10], unsigned char*oracle_mixcase_hash) { unsigned char to_hash[256]; memcpy (to_hash, passwd, passwd_len); memcpy (to_hash+passwd_len, salt, 10); SHA_CTX ctx; SHA1_Init (&ctx); SHA1_Update (&ctx, to_hash, passwd_len+10); SHA1_Final (oracle_mixcase_hash, &ctx); }
五.总结
从 Oracle9i到Oracle11g的变化,我们可以清晰得看出oracle调整的思路,就是更安全。从11g开始,oracle和密码相关登陆信息全 部采用了密文。有效地加大了破解难度。我们身为IT软件从业者和安全行业从业者,应该向Oracle学习,不单单重视软件本身的安全,同时也要对环境有一 定的抵抗力。一定注意防止网络监听,设计SID的时候尽量避免ORCL、TEST等常用名。端口号尽量不要选用1521 和1523来增加扫描难度。使用复杂密码,定期更换密码等都会有助于oracle的安全
