Oracle中泄露“天机”的TNS
作者:思成 发布时间:2016-06-29

数据库的安全是长期存在的问题。在目前大量的数据泄露事件以及漏洞面前,大家看到的大都是SQl注入、越权操作、缓冲区溢出等这些具体漏洞。往往却 忽视了造成这些问题的前提,黑客想要入侵数据库一定会尝试获取数据库ip、端口和数据库版本号。没有ip和端口黑客对数据库的攻击将无从下手,也就无法对 数据库发动真正有效的进攻。所以防止数据库ip 、端口和版本号的泄露是防止黑客入侵数据库的第一道防线。

数据库版本号的泄露途径

要想防止黑客盗取数据库版本信息。首先就要弄清黑客是从哪些渠道获取数据库版本信息的,然后才能提出切实有效的防御方案。本文仅针对Oracle讲 解黑客获取Oracle数据库版本号的方式以及预防措施。除去社会工程学从技术角度出发TNS(ORTACLE的网络核心组件)是泄露数据库版本号的一个 重要功能。

安华金和数据库攻防实验室结合多年的经验与实践总结出黑客通过TNS获取ORACLE数据库版本信息主要有以下三种方式:

1. 身份验证前部分函数泄露数据库版本

在TNS的通讯包中存在大量的函数调用。这些函数调用中有一部分函数会在进行身份验证之前被运行,其中一部分函数会导致数据库版本信息外泄。从而使得只要黑客知道数据库ip和端口以及实例名就可以成功骗去数据库版本信息。其中最有代表的函数是0x3B TTC函数。

客户端接收到服务器发送的接收包,服务器可能会选择商议附加的网络服务,约定客户端和服务器采用的身份验证、加密、数据完整性和管理等。在ANO商议头(下面包中的0XDEADBEEF)后面的3个字节中可以找到服务器的数据库版本信息。

图中红线所指地方0x0a200100就是数据库版本信息,只观可以判断版本为10.2.0.1.0(a在16进制里是10)。

2.TNS报错信息泄露数据库版本

如果TNS接到一个它无法识别的TNS命令(是格式正确,但内容不对),就会会送一个错误,在这个错误中包含VSNNUM,它保存了一个十进制数 字,把该数字转成十六进制会得到数据库版本号。这种方式比上一种方式需求的信息更少,只需要数据库的IP和端口就可以进行数据库版本号的骗取。 
 例如:C:\Documents and Settings\lsc>sqlplus scott/tig@192.168.0.60:1521/or(实例名、密码全不对,但格式正确。)

服务器会回答一个错误应答包如下图所示:

箭头所指的方向 VS NNUM=169869568 是ORACLE客户端的版本号。把这组数转成16进制变成 A200100

3. TNS命令不合理使用泄露数据版本

第三种也是最危险的一种。只需要有IP就能获取端口号、数据库版本号甚至操作系统版本号。危险的来源是本来lsnrctl的命令应该只在本地执行, 但oracle为了照顾操作的灵活性,某些版本支持lsnrctl 远程使用。仅通过IP信息可以获取目标数据库所有外围敏感信息。例如我们ping 192.168.0.60发现可以ping 通。直接设置监听目标ip (set current_listener 192.168.0.60)执行命令version获取目标IP数据库的端口、数据库版本以及操作系统版本。

对比3种获取数据库版本信息的方法,第三种方法要求最低,收益最高,但缺点是这种方式只支持到Oracle10R2版本。而方法一和方法二,则是任何一个版本的oracle数据库都存在安全隐患。

防止泄露数据库版本号的方法

知道了黑客采集数据库版本的办法,我们就可以针对性的进行防御。安华金和数据库攻防实验室根据多年经验以及攻防测试总结出以下4点有助于加固TNS的解决法办法。

1.设置TNS Listener 口令

默认情况下,TNS Listener 没有设置口令,任何可以连接到系统的人都可以管理它。设置Listener口令可以防止对Listener的无授权管理。为了设置口令,编辑 listener.ora 加入PASSWORDS_LISTENERNAME.按步操作,直到完成整个加口令过程。

2.开启 Admin Restrictions

通过开启Admin Restrictions(管理限制)可防止对Listener的未授权管理。随着Admin Restrictions的开启,一些命令将不能被远程调用。及时提供Listener口令也不行。为开启Admin Restrictions,将下面的代码行添加到Listener.ora文件中。

ADMIN_RESTRICTIONS_listencername =ON

3.开启TCP有效节点检查

TCP有效节点检验可以用来允许某些主机连接到数据库而阻止其他服务器链接。为开启TCP有效节点检验,按如下方式编译代码:

TCP.VALIDNODE_CHECKING = YES

TCP.EXCLUDED_NODES={List of ip addresses separated by a comma}

或者

TCP.INVITED_NODES={List of ip addresses separated by a comma}

4.网络通信量加密

利用Oracle Net Manager实现对客户机和数据库服务器之间的通讯进行加密。注意此处的加密指的是协议加密,而并非数据加密。

根据安华金和数据库攻防实验室的实践以上四点能够有效的防止黑客获取数据库版本信息。从而使黑客无法对数据库进行针对性的攻击。通过加固TNS将避免一些设计带来的问题,有利于保护数据库版本信息不被泄露 ,从而保障数据库安全。