见招拆招:破解Oracle数据库密码

一.概要

本文主要目的，希望通过分享解密方法引起相关人士对网络安全的重视。数据库安全绝不单只数据库本身的安全，和数据库所处的整个环境都有密切关系。

本文所说的破解oracle9i、oracle10g、oracle11g密码，特指通过对oracle数据库和客户端之间通讯包进行处理破解出oracle密码明文，这有别于对oracle数据库中存储的16位密码进行破解。截获网络信息往往比登入数据库找到密码密文更易操作、更难防范、隐秘性更高。

本文会说明oracle最常见的3个版本的具体算法，但是不会揭露算法内部细节。

二.背景

随着信息通讯的发展，网络变得越来越复杂，同时也越来越不安全。如下图所示：从客户端到数据库的过程中，攻击者有越来越多的攻击目标选择。无论在哪一环节成功对网络进行拦截或者监听都会获得oracle数据库和客户端之间的通讯包。如果通讯包中恰好含有用户信息，如果不进行加密处理这将是灾难性的事件。本文依oracle的3个版本为例（9i 10g11g）。分别说明核心通讯内容加密的方法和发展趋势。

三.oracle加密原理

当Oracle发起接后，Oracle客户端向oracle数据库发送自己版本号，包含的加密算法等信息。最终2边确定使用什么加密算法。然后进行O3logon验证。O3logon验证是一种查询-响应协议，他利用DES加密技术保护这个会话的密钥（sesskey），保证sesskey不会在网络中传输，所以即使有人监听网络也不会暴露核心密钥。其中O3logon验证的核心是sesskey。

首先服务器通过oracle_hash（不同的版本不一样，在9i中是用户名+密码，再进行sha1运算）和sesskey(一个随机数)算出服务器端的S_auth_sesskey.

客户端拿到服务器的S_auth_sesskey后通过手上的散列值（这个散列值是用与服务器端一样的方法计算的orcale_hash）算出数据库所选择的随机sesskey。

客户端使用sesskey 生成新的散列值，以该值为密钥与明文password进行运算得到秘文password; 然后将秘文password发送到服务器端。

服务器端收到password；通过sesskey生成散列值密钥，对秘文password进行解密得到密码明文，如果与库中存储一致则登陆成功。（参见下图）

四.实例

上面主要是原理的说明，下面就3个版本的数据库进行分别说明（他们既有相同，也有不同的地方）。

oracle9i:

本文默认你已经通过某些方式取得了一个含有Oracle登录信息的网络通讯包。省略掉前面和破密关系不大的信息在数据包中寻找到3个相关信息分别是数据库发送给客户端的AUTH_SESSKEY 、用户名明文和AUTH_PASSWORD。

客户端在得到auth_sesskey后，客户端运算出oracle_hash ，首先对orcale_hash做SHA1运算会得到服务器端的散列值。以服务器端散列值为密钥进行3DES解密，可以把服务器端发给客户端的AUTH_SESSKEY转化成本次回话的sesskey。

服务器端在得到auth_password后，把sesskey按照一定的方法做SHA1运算得到客户端散列值。客户端散列值和AUTH_PASSWORD通过3DES可以算出存于数据库中的密码密文。最后客户端散列值和密码密文进行运算可以还原回密码明文。

由于9i是采用把用户名明文和密码明文按照顺序排列在一起对整个字符串做处理生成oracle_hash。由于添加的参数是固定的所以即使不是同一台数据库只要加入的账号+密码相同则，他们的sesskey是相同的。例如用户名aabbcc密码ccddee和用户名aabbcccc密码ddee是一样的sesskey。

参考代码

intORACLE_Hash(char*username,char*passwd,intpasswd_len,unsignedchar*oracle_hash){charToEncrypt[256];chartemp[256];DES_cblockiv,iv2;DES_key_scheduleks1,ks2;intlen=0;intj,ulen,plen;memset(ToEncrypt,0,sizeof(ToEncrypt));strupr(username);strupr(passwd);ulen=strlen(username);plen=passwd_len;for(len=1,j=0;j<ulen;len++,j++){ToEncrypt[len]=username[j];len++;}for(j=0;j<plen;len++,j++){ToEncrypt[len]=passwd[j];len++;}len=len-1;memset(iv,0,8);memset(iv2,0,8);DES_set_key((DES_cblock*)deskey_fixed,&ks1);DES_ncbc_encrypt((unsignedchar*)ToEncrypt,(unsignedchar*)temp,len,&ks1,&iv,DES_ENCRYPT);DES_set_key((DES_cblock*)&iv,&ks2);DES_ncbc_encrypt((unsignedchar*)ToEncrypt,(unsignedchar*)temp,len,&ks2,&iv2,DES_ENCRYPT);memcpy(oracle_hash,iv2,8)returnTRUE;}

注：以上的代码并未使用sha1，而是采用了des，与前文介绍不一致。而且其中deskey_fixed是什么？是下文的fixed31吗？

intORACLE_TNS_Decrypt_Password_9i(unsignedcharOracleHash[8],unsignedcharauth_sesskey[16],unsignedcharauth_password[16],char*decrypted){unsignedcharfixed31[]={0xA2,0xFB,0xE6,0xAD,0x4C,0x7D,0x1E,0x3D,0x6E,0xB0,0xB7,0x6C,0x97,0xEF,0xFF,0x84,0x44,0x71,0x02,0x84,0xAC,0xF1,0x3B,0x29,0x5C,0x0F,0x0C,0xB1,0x87,0x75,0xEF};unsignedchartriple_des_key[64];unsignedcharsesskey[16];unsignedcharobfuscated[16];intPassLen=16;ORACLE_TNS_Create_Key_SHA1(OracleHash,8,fixed31,sizeof(fixed31),24,triple_des_key);ORACLE_TNS_Decrypt_3DES_CBC(auth_sesskey,16,triple_des_key,sesskey);ORACLE_TNS_Create_Key_SHA1(sesskey,16,NULL,0,40,triple_des_key);ORACLE_TNS_Decrypt_3DES_CBC(auth_password,16,triple_des_key,obfuscated);ORACLE_TNS_DeObfuscate(triple_des_key,obfuscated,&PassLen);memcpy(decrypted,obfuscated,PassLen);returnPassLen;}

oracle10g

10g在9i的基础上进行了很大的改变。同样还是假设我们已经取得一个含有Oracle登录信息的网络通讯包。省略掉前面和破密关系不大的信息在数据包中寻找到4个相关信息分别是数据库发送给客户端的S_AUTH_SESSKEY、用户名明文、客户端发送给服务器的C_AUTH_SESSKEY和AUTH_PASSWORD。

首先假设取得了oracle_hash，这里不同于9i。9i虽然算了2个不同的散列值。但由于2个散列值都是通过固定数据和oracle_hash算出来的，所以难免被破解，而且效率不高。从Oracle10g开始，Oracle调整了策略，客户端和数据库分别以oracle_hash为基础生成S_AUTH_SESSKEY和C_AUTH_SESSKEY。

客户端对传过来的S_AUTH_SESSKEY。做AES128解密处理拿到server_sesskey。把server_sesskey和自己的client_sesskey做md5生成combine。用combine生成AUTH_PASSWORD。

服务器端最后用combine对AUTH_PASSWORD解密。对比密码，如果一致登陆成功。

10g在对于sesskey的处理上取得了长足的改善，但是对oracle_hash的产生上依旧延续了9i的方式。采用用户名和密码进行拼接组成最关键的字符串。对该字符串进行DES处理。

参考代码

intORACLE_TNS_Decrypt_Password_10g(unsignedcharOracleHash[8],unsignedcharauth_sesskey[32],unsignedcharauth_sesskey_cli[32],unsignedchar*auth_password,intauth_password_len,char*decrypted){intpasslen=0;unsignedcharaes_key_bytes[32];unsignedchardecrypted_server_sesskey[32];unsignedchardecrypted_client_sesskey[32];unsignedcharcombined_sesskeys[16];chardecrypted_password[64];memset(aes_key_bytes,0,sizeof(aes_key_bytes));memcpy(aes_key_bytes,OracleHash,8);ORACLE_TNS_Decrypt_AES128_CBC(aes_key_bytes,auth_sesskey,32,decrypted_server_sesskey);ORACLE_TNS_Decrypt_AES128_CBC(aes_key_bytes,auth_sesskey_cli,32,decrypted_client_sesskey);ORACLE_TNS_Combine_SessKeys(&decrypted_server_sesskey[16],&decrypted_client_sesskey[16],combined_sesskeys);ORACLE_TNS_Decrypt_AES128_CBC(combined_sesskeys,auth_password,auth_password_len,(unsignedchar*)decrypted_password);passlen=terminate_ascii_string(&decrypted_password[16],auth_password_len-16);if(passlen!=-1)strncpy(decrypted,&decrypted_password[16],passlen);returnpasslen;}

oracle11g

11g在10g的基础上进行了一定的改变。同样还是假设我们已经取得一个含有Oracle登录信息的网络通讯包。省略掉前面和破密关系不大的信息在数据包中寻找到4个相关信息分别是数据库发送给客户端的S_AUTH_SESSKEY、AUTH_VFR_DATA、客户端发送给服务器的C_AUTH_SESSKEY和AUTH_PASSWORD。

依旧假设取得了Oracle_hash，11g基本同于10g，客户端和数据库分别以Oracle_hash为基础生成S_AUTH_SESSKEY和C_AUTH_SESSKEY。客户端对传过来的S_AUTH_SESSKEY。做AES192解密处理拿到server_sesskey。把server_sesskey和自己的client_sesskey做md5生成combine。用combine生成AUTH_PASSWORD。服务器端最后用combine对AUTH_PASSWORD解密。对比密码，如果一致登陆成功。

11g最大的变化在生成Oracle_hash上采取了和10g不同的策略。Oracle 11g为了提高Oracle_hash的安全性，多引入了AUTH_VFR_DATA这个随机值。取消了明文用户名。每个会话的AUTH_VFR_DATA都不同。从根本上避免9i、10g同字符串（用户名+密码组成的字符串）带来的无论哪台机器oracle_hash一致的巨大安全隐患。

参考代码

voidORACLE_MixCase_Hash(char*passwd,intpasswd_len,unsignedcharsalt[10],unsignedchar*oracle_mixcase_hash){unsignedcharto_hash[256];memcpy(to_hash,passwd,passwd_len);memcpy(to_hash+passwd_len,salt,10);SHA_CTXctx;SHA1_Init(&ctx);SHA1_Update(&ctx,to_hash,passwd_len+10);SHA1_Final(oracle_mixcase_hash,&ctx);}

五.总结

从Oracle9i到Oracle11g的变化，我们可以清晰得看出oracle调整的思路，就是更安全。从11g开始，oracle和密码相关登陆信息全部采用了密文。有效地加大了破解难度。我们身为IT软件从业者和安全行业从业者，应该向Oracle学习，不单单重视软件本身的安全，同时也要对环境有一定的抵抗力。一定注意防止网络监听，设计SID的时候尽量避免ORCL、TEST等常用名。端口号尽量不要选用1521 和1523来增加扫描难度。使用复杂密码，定期更换密码等都会有助于oracle的安全

（本文摘自：freebuf）