wodat:一款针对Windows Oracle数据库的渗透测试工具

news2024/12/25 8:55:53

关于wodat

wodat是一款功能强大的针对Windows Oracle数据库的渗透测试工具,该工具基于C# .Net
Framework开发,能够帮助广大研究人员对Windows平台下的Oracle数据库执行按摩全渗透测试任务。

注意:请在被授权执行安全测试的情况下使用该工具。

功能介绍

1、执行基于密码的渗透测试,例如用户名、密码、用户名列表和用户名:密码组合等;

2、测试一个凭证或链接字符串对目标是否有效;

3、执行暴力破解任务以发现有效的SID/ServiceName;

4、使用提供的目标文件或CIDR范围扫描有效的TNS监听器;

5、其他功能…

工具下载&安装

广大研究人员可以使用下列命令将该项目下载到本地:

git clone https://github.com/InitRoot/wodat.git

接下来,切换到项目目录下并使用下列命令自行构建项目代码:

nuget restore wodat.sln

msbuild wodat.sln -t:rebuild -property:Configuration=Release

工具使用

下面给出的是该工具的常用命令行参数选项:

wodat.exe COMMAND ARGGUMENTS

 COMMAND (ALL,BRUTECRED,BRUTESID,BRUTESRV,TEST,DISC)

 -server:XXX.XXX.XXX.XXX -port:1520

 -sid:AS OR -srv:AS

 -user:Peter -pass:Password

测试一个指定的凭证集是否有效:

wodat.exe TEST -server:XXX.XXX.XXX.XXX -port:1521 -sid:XE -user:peter -pass:pan

功能模块

BRUTESID模块(SID爆破)

wodat提供的BRUTESID模块可以针对SID执行字典猜解攻击,如果失败的话,则会询问是否执行暴力破解攻击:

wodat.exe BRUTESID -server:XXX.XXX.XXX.XXX -port:1521

BRUTESRV模块(Service爆破)

wodat提供的BRUTESRV模块可以针对ServiceName执行字典猜解攻击,如果失败的话,则会询问是否执行暴力破解攻击:

wodat.exe BRUTESRV -server:XXX.XXX.XXX.XXX -port:1521

BRUTECRED模块(凭证爆破)

wodat提供的BRUTECRED模块可以执行基于字典密码的攻击测试,并提供下列参数选项:

A - 用户名:密码组合列表

B - 用户名列表

C - 密码列表

D - 用户名作为密码

下列命令可以根据给定的包含“用户名:密码”组合的文件执行猜解攻击:

wodat.exe BRUTECRED -server:XXX.XXX.XXX.XXX -port:1521 -sid:XE

测试模块

该模块用于测试给定的链接字符串是否有效:

wodat.exe TEST -server:XXX.XXX.XXX.XXX -port:1521 -sid:XE -user:peter -pass:pan

DISC模块

该模块可以针对给定的CIDR范围或包含了实例的文件执行扫描。注意,只有带有有效TNS监听器的实例才会被返回,并且整个过程以并行方式进行,因此速度非常快:

wodat.exe DISC

测试实例的格式必须以下列形式提供(targets.txt):

192.168.10.1

192.168.10.5,1521

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/349756.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[Apache Hudi] 流转批的场景实践

文章目录1.EventTime计算原理2.案例使用2.1 Maven pom 依赖2.2 设置EventTime2.3 Flink API2.4 Flink SQL2.5 读取EventTime在某些业务场景下,我们需要一个标志来衡量hudi数据写入的进度,比如:Flink 实时向 Hudi 表写入数据,然后使…

vue2版本《后台管理模式》(中)

文章目录前言一、创建一个文件夹 utils 里面新增一个 setToken.js 文件(设置token验证)二 、创建一个api文件夹 新增 service.js (axios拦截器)三、在api文件夹里 新增一个 api.js 来接收数据(把api封装哪里需要某项数据直接引入就…

运维服务商低成本提升服务质量解决方案

在信息化高速发展的今天,网络建设的重要性不言而喻,更多客户选择将运维服务外包或托管给运维服务商,市场需求愈大竞争压力愈大,想要脱颖而出势必要优化自身提高服务质量,最好是低成本、大提升,nVisual助力渠…

饕餮 NFT 作品集来袭!

饕餮 NFT 作品集包含 Chili Game 创作的体验《饕餮》第一章中的角色。可以在 The Sandbox 农历新年活动期间(01/18/23 至 02/28/23)体验。 饕餮的故事植根于中国古代神话,主要灵感来自《山海经》,一个关于捉妖人「青蛙侠」的故事。…

ASEMI中低压MOS管18N20参数,18N20封装,18N20尺寸

编辑-Z ASEMI中低压MOS管18N20参数: 型号:18N20 漏极-源极电压(VDS):200V 栅源电压(VGS):30V 漏极电流(ID):18A 功耗(PD&#x…

神经网络基础部件-卷积层详解

前言 在全连接层构成的多层感知机网络中,我们要通过将图像数据展平成一维向量来送入模型,但这会忽略了每个图像的空间结构信息。理想的策略应该是要利用相近像素之间的相互关联性,将图像数据二维矩阵送给模型中学习。 卷积神经网络(convolu…

教育舆情监测方案有哪些,TOOM讲解教育舆情的应对与处理?

教育舆情方案是针对教育领域的舆情事件或问题而制定的应对方案。其主要目的是通过有效的信息收集、分析、处理和传播,帮助教育机构或相关组织及时掌握和应对公众舆论的发展趋势,维护良好的舆情形象和声誉,教育舆情监测方案有哪些,…

黑马Java后端项目实战--在线聊天交友

【课程简介】 越来越多的系统都有消息推送的功能,如聊天室、邮件推送、系统消息推送等; 要实现消息推送就需要服务端在数据有变化时主动推送消息给客户端,本次课程将带大家使用websocket实现消息推送。 【主讲内容】 1.方法:如…

ANR系列(二)——ANR监听方案之WatchDog

前言 ANR的监控在Android6.0之前可以通过监听文件data/anr/trace读取trace信息来分析,但从6.0之后就被禁止了。随着Android的发展,手机里的ANR越来越多,对ANR的监控方案也就五花八门。 WatchDog方案 WatchDog是个开源的框架,是…

大漠插件最新中文易语言模块7.2302

模块名称:大漠插件中文模块最新通用7.2302模块简介:大漠插件中文模块最新通用7.2302模块特色:原翻译:花老板完善命令备注:易生易世本人花费一个月时间才将命令完善了插件的备注说明.且用且珍惜去掉了大漠插件定制版类.因为没用.模块特色:什么是中文模块?大漠插件模块是由大漠类…

Java SPI 概念和应用实现

Java SPI 测试 Demo一.SPI 简介1.概念 SPI 与 API2.作用二.Jdk SPI 实现1.SPI 接口定义2.SPI 实现类定义3.SPI 配置4.测试三.SpringBoot SPI 实现1.引入 SpringBoot 依赖2.SpringBoot SPI 配置3.测试一.SPI 简介 1.概念 SPI 与 API SPI 全称:Service Provider Int…

Xshell连接阿里云服务器搭建网站

一、建设一个网站的基本要求 申请一个独立的域名申请一台云服务器ECS在服务器上安装网站环境,如:Apache发布网站内容至云服务器将第一步注册的域解析至云服务器的外网IP地址进行ICP备案 二、用户访问网站的过程 在浏览器上输入域名浏览器自动调用DNS&…

SPI(服务提供发现机制)简单使用

一、概述 SPI的英文全称是Service Provider Interface,是Java内置的一种服务提供发现机制。一般常用于一些框架或组件库的开发,我们最熟悉JDBC就应用到了SPI机制,并且在Spring、Dubbo中也大量应用了SPI机制。SPI机制是针对同一个接口采用不同…

质量小议18 -- 熵

未能深入理解其包含的物理意义,浅记于此,以求理解对抗有自然无序的过程。 熵,对系统无序程序的度量,表征系统混乱程度。系统总是由有序向无序,最后走向静寂。 关键词:1. 无序和混乱;2. 有序向无…

Java中static关键字和代码块的学习

本文介绍了Java中static关键字的使用,即静态成员变量和成员方法以及使用,静态与非静态成员变量和方法的对比总结 Java中的代码块介绍与最后结合代码块和构造方法后的初始化代码执行顺序的练习 static和代码块的学习三.认识static关键字1.static修饰成员变量2.static修饰成员方法…

GAMES101-计算机图形学入门 LEC4: TRANSFORMATION-3D

本节课程视频地址:https://www.bilibili.com/video/BV1X7411F744/?p4 补充上一节课的一个内容,旋转矩阵的逆矩阵是它的转置,也就是说有R−θRθ−1RθTR_{-\theta} R_\theta^{-1}R_\theta^TR−θ​Rθ−1​RθT​ 上节课讲了,…

【go】结合一个go开源项目分析谷歌浏览器cookie为什么不安全 附go项目导包失败怎么解决教程

本文创作背景 源于谷歌浏览器提示密码被泄露 并且某站很快收到了异地企图登录的提醒。 当即怀疑是不是谷歌浏览器保存的密码不安全,最后查阅诸多资料 并找到一个go语言编写的开源项目进行研究,虽然最终不能确定密码是如何泄露的 但研究结论还是让人不由感…

在华为MateBook Ego的arm windows 11上安装hyper-V虚拟机

入手一台华为matebook Ego的笔记本,由于想要测试一些arm的驱动功能,经常会把系统搞蓝屏,于是想安装一个虚拟机,于是试了vmware ,visual-box,由于本机是arm架构上面两个软件都无法进行正常安装,可能是由于有…

Excel+SQL实战项目 - 餐饮业日销售情况分析仪

目录1、要完成的任务2、认识数据3、SQL数据加工4、excel形成分析仪1、要完成的任务 目标:结合SQL和excel实现餐饮业日销售情况分析仪,如下表: 认识分析仪: 切片器:店面 分为四部分:KPI 、组合图、饼图、数…

如何自学芯片设计?

众所周知,芯片设计自学还是比较困难的,更不存在速成的。这里简单说一下学习的规划。 学会相应的知识 无论是科班毕业,还是理工科专业,想要入行IC,那就一定要具备相关的基础知识。尤其是在学校里,学习的很…