ODAT (Oracle Database Attacking Tool): comprueba la seguridad de tu base de datos Oracle

ODAT (Oracle Database Attacking Tool) es una herramienta de código abierto para comprobar la seguridad de una base de datos Oracle de forma remota.

Ejemplos de uso de ODAT:


- tienes una base de datos Oracle escuchando remotamente y quieres encontrar SIDs válidos y credenciales para conectarte.
- tienes una cuenta válida en una base de datos Oracle y quieres escalar privilegios (por ejemplo SYSDBA)
- tienes una cuenta válida en una base de datos Oracle y quieres ejecutar comandos en el sistema operativo que la hospeda (por ej. para un shell inverso)



Características:

- buscar un SID válido en un listener remoto a través de: un ataque de diccionario / un ataque de fuerza bruta / ALIAS del listener
- buscar cuentas de Oracle usando: un ataque de diccionario / cada usuario de Oracle como la contraseña
- ejecutar comandos de sistema en el servidor de base de datos mediante: DBMS_SCHEDULER / JAVA / tablas externas / oradbg
- descargar los archivos almacenados en el servidor de base de datos mediante: UTL_FILE / tablas externas / CTXSYS
- subir archivos en el servidor de base de datos mediante: UTL_FILE / DBMS_XSLPROCESSOR / DBMS_ADVISOR
- borrar archivos usando: UTL_FILE
- enviar/recibir peticiones HTTP desde el servidor de base de datos usando: UTL_HTTP / HttpUriType
- escanear puertos del servidor local o un servidor remoto usando: UTL_HTTP / HttpUriType / UTL_TCP
- explotar el CVE-2012-313 (http://cvedetails.com/cve/2012-3137)


Instalar/Dependencias

ODAT es
sólo compatible con Linux. Existe una versión standalone con el fin de no tener que instalar las dependencias y sqlplus (ver la carpeta de compilación del git). El ODAT standalone se generó mediante PyInstaller.

Si quieres tener la versión de desarrollo, son necesarias las siguientes herramientas y dependencias:

- Lenguaje: Python 2.7
- dependencias de Oracle : Instant Oracle básica Instantáneas y sdk Oracle
- Bibliotecas de Python: cx_Oracle con las siguientes recomendadas - colorlog / termcolor / argcomplete / PyInstaller

Puede descargar ODAT standalone aquí:


32-Bit – odat-linux-libc2.19-i686.tar.gz
64-Bit – odat-linux-libc2.19-x86_64.tar.gz 


O lee más información aquí.

Fuente:  ODAT (Oracle Database Attacking Tool) – Test Oracle Database Security

Comentarios