Oracle的verify_function_11G函数只是通过一些密码规则来让密码看起来不容易猜到,但一些用户的习惯让所设的密码虽然复杂,但并不难猜,这时可以用我写的这个程序,把一些常见的易猜的密码放入文件或字典数据库中, 通过程序自动尝试连接Oracle数据库,来效验指定数据密码是否太过易猜或简单,如果数据库用户配置稍严格些,这个程序就不起作用了,所以不太具有实用价值,仅参考使用。程序用到了 SQLite与 OTL可看: SQLite编程相关(http://www.linuxidc.com/Linux/2014-03/98379.htm) OTL的使用(http://www.linuxidc.com/Linux/2014-03/98380.htm) 去了解相关使用方法。程序代码如下:/**
* author: xiongchuanliang
* desc: 效验密码是否是使用数据库默认密码,或密码是否太过简单
程序的参数说明:
-d 效验是否使用默认用户和密码没改过
-s 事先在SQLite数据库中存放各类数据库密码,然后依次尝试。
可通过 “ -s a% “这类来从字典表中过滤出相符合的密码字符串
-f 从密码文件中读取密码字符串依次尝试
*/#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <iostream>#include "sqlite3.h"
#define OTL_ORA10G
//#define OTL_ORA11G_R2 // Compile OTL 4.0/OCI11.2
#include "otlv4.h" // include the OTL 4 header fileusing namespace std;
otl_connect oracledb;#define MAXLINE 150#define DICT_DB "c:\sqlite\mydict.db"
#define DICT_FILE "c:/sqlite/mydict.txt"
#define TNS_DBNAME "xcldb"#define SQL_COUNT " SELECT count(*) FROM userpwd "
#define SQL_SELECT " SELECT pwd FROM userpwd "char arrTestUser[][30] = {"sys","system","test"};
int arrTestUserLen = 3;
//从SQLite只按条件查出密码串放入文件
sqlite3_uint64 getDictDB(char * pWhere);//初始化OTL
void initOTL();//连接Oracle数据库
int connectORA(char * connstr);//从字典文件读入密码字符串尝试连接
bool testConnDB();//尝试用默认的用户名和密码连接
bool testConnDBDF();int main(int argc, char* argv[])
{
printf("==========================
");
printf("数据库密码有效性测试!
");
printf("==========================
"); if(argc==1||argc<2)
printf("请输入运行参数(-f,-d,-s).
");
//从指定字典文件中查找
if( strcmp(argv[1],"-f") == 0)
{
printf(" -f : 从指定字典文件中查找
");
testConnDB();
}else{ initOTL();
//查数据库默认用户密码
if( strcmp(argv[1],"-d") == 0)
{
printf(" -d : 查数据库默认用户密码
");
testConnDBDF();
}else if( strcmp(argv[1],"-s") == 0) //从SQLite数据库找出密码
{ printf(" -s : 从SQLite数据库找出密码
");
if(argc==3)
{
printf("过滤条件: %s
",argv[2]); // %a123%
char sW[50] = {0};
//char *s = " where pwd like "%aaa%" ";
sprintf_s(sW, " where pwd like "%s" ",argv[2]);
getDictDB(sW);
}else{
char *sW = NULL;
getDictDB(sW);
}
//从数据库中转出的密码文件中读取密码进行尝试
testConnDB();
}else{
printf("请输入(-f,-d,-s)三个参数之一.
");
}
}
return 0;
}//从SQLite只按条件查出密码串放入文件
sqlite3_uint64 getDictDB(char * pWhere)
{
char sqlCount[MAXLINE] = {0};
char sqlSelect[MAXLINE] = {0}; strcpy_s(sqlCount,SQL_COUNT);
strcpy_s(sqlSelect,SQL_SELECT); if(pWhere != NULL)
{
strcat_s(sqlCount,pWhere);
strcat_s(sqlSelect,pWhere);
} sqlite3 * pDB = NULL; //打开路径采用utf-8编码
//如果路径中包含中文,需要进行编码转换
// c:\sqlite\mydict.db
int nRes = sqlite3_open(DICT_DB, &pDB);
if (nRes != SQLITE_OK)
{
printf("字典数据库连接失败. %s
",sqlite3_errmsg(pDB));
return 0;
} sqlite3_stmt * stmt;
const char *pTail;
sqlite3_uint64 rCount = 0;
int rc = 0; //查询所有数据
sqlite3_prepare(pDB, sqlCount,-1,&stmt,&pTail);
int r = sqlite3_step(stmt);
if(r == SQLITE_ROW)
{
rCount = sqlite3_column_int64( stmt, 0 );
printf("共找到%d条字典密码.
",rCount);
}
sqlite3_finalize(stmt);
if(rCount <= 0 ) goto end; //查询所有数据
sqlite3_prepare(pDB, sqlSelect,-1,&stmt,&pTail);
do{ FILE *fp;
fopen_s(&fp,DICT_FILE,"w");
if(fp == NULL)
{
printf("字典文件生成失败.
");
goto end;
} r = sqlite3_step(stmt);
const unsigned char * pPwd;
while( r == SQLITE_ROW ){
pPwd = sqlite3_column_text( stmt,0 );
fprintf(fp,"%s
",pPwd);
r = sqlite3_step(stmt);
}
rc = sqlite3_finalize(stmt); fclose(fp);
}while(rc == SQLITE_SCHEMA );end:
sqlite3_close(pDB);
return rCount;
}//初始化OTL
void initOTL()
{
otl_connect::otl_initialize();
}//连接Oracle数据库
int connectORA(char * connstr)
{
if(connstr == NULL )return false; try{
oracledb.rlogon(connstr);
printf("数据连接成功! %s
",connstr);
oracledb.logoff(); return 0;
}
catch(otl_exception &p)
{
cerr<<p.msg<<endl;
cerr<<p.stm_text<<endl;
cerr<<p.var_info<<endl;
//ORA-12541: TNS: 无监听程序
//if( strstr( (char *)p.msg,"ORA-12541") != NULL) return 2;
}
return 1;
}//从字典文件读入密码字符串尝试连接
bool testConnDB()
{
FILE *fp;
char arrPwd[MAXLINE+1] = {0};
bool bRet = false;
char arrConnStr[50] = {0}; fopen_s(&fp , DICT_FILE , "r"); if ( fp == NULL)
{
printf("字典文件打开失败!
");
return false;
}
while ((fgets (arrPwd, MAXLINE, fp)) != NULL)
{
if( strlen(arrPwd) <= 1) continue;
arrPwd[strlen(arrPwd)-1] = 0; for(int i = 0; i < arrTestUserLen;i++)
{
memset(arrConnStr,0,50);
sprintf_s(arrConnStr,"%s/%s@%s",arrTestUser[i],arrPwd,TNS_DBNAME);
printf("%s
",arrConnStr);
if(connectORA(arrConnStr) == 0)
{
bRet = true;
goto end;
} }
}
end:
fclose(fp);
return bRet;
}//尝试用默认的用户名和密码连接
// 11g可用"select * from dba_users_with_defpwd"查出使用默认的用户名和密码
// 在本程序采用手工指定方式
bool testConnDBDF()
{
bool bRet = false; char arrDfUser[][30] = {"sys","system","sysman","scott","aqadm","dbsnmp"};
char arrDfPwd[][30] = {"change_on_install","manager","oem_temp","tiger","aqadm","dbsnmp"};
char arrConnStr[50]= {0};
for(int i=0;i<6;i++)
{
memset(arrConnStr,0,50);
sprintf_s(arrConnStr,"%s/%s@%s",arrDfUser[i],arrDfPwd[i],TNS_DBNAME);
printf("%s
",arrConnStr); if( connectORA(arrConnStr) == 0)
{
bRet = true;
break;
}
}
return bRet;
}这程序因为没使用多线程,而数据库的连接本身是个比较慢的动作,所以速度并不快,不过能跑就行。更多Oracle相关信息见Oracle 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=12SQLite编程相关DBA做坏事之盗用Oracle用户身份相关资讯 Oracle用户 Oracle用户密码效验程序
- Oracle用户解锁 (02/12/2015 20:01:18)
- Oracle创建用户时的密码校验问题 (07/16/2014 10:02:32)
- Oracle中预制的用户启用 (04/10/2013 09:35:56)
| - Oracle用户与权限管理 (11/20/2014 14:29:34)
- DBA做坏事之盗用Oracle用户身份 (03/17/2014 21:24:33)
- Oracle 用户及角色 介绍 (01/23/2013 09:39:25)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站