Oracle TNS
El Oracle Transparent Network Substrate (TNS) es un protocolo de comunicación que facilita la comunicación entre bases de datos Oracle y aplicaciones a través de redes. Introducido inicialmente como parte del software Oracle Net Services, TNS admite varios protocolos de red entre bases de datos Oracle y aplicaciones cliente, como IPX/SPX y TCP/IP. Como resultado, se ha convertido en una solución preferida para gestionar bases de datos grandes y complejas en industrias como la salud, finanzas y comercio minorista. Además, su mecanismo de cifrado integrado garantiza la seguridad de los datos transmitidos, lo que lo convierte en una solución ideal para entornos empresariales donde la seguridad de los datos es primordial.
Con el tiempo, TNS se ha actualizado para admitir tecnologías más nuevas, como IPv6 y cifrado SSL/TLS, lo que lo hace más adecuado para los siguientes propósitos:
Resolución de nombres
Gestión de conexiones
Balanceo de carga
Seguridad
Además, permite cifrar la comunicación entre el cliente y el servidor a través de una capa adicional de seguridad sobre la capa de protocolo TCP/IP. Esta función ayuda a proteger la arquitectura de la base de datos contra accesos no autorizados o ataques que intenten comprometer los datos en el tráfico de red. Además, proporciona herramientas y capacidades avanzadas para administradores de bases de datos y desarrolladores, ya que ofrece monitoreo y análisis de rendimiento, capacidades de reporte y registro de errores, gestión de cargas de trabajo y tolerancia a fallos a través de servicios de base de datos.
Configuración Predeterminada
La configuración predeterminada del servidor Oracle TNS varía según la versión y edición del software Oracle instalado. Sin embargo, algunos ajustes comunes suelen configurarse por defecto en Oracle TNS. De forma predeterminada, el listener escucha conexiones entrantes en el puerto TCP/1521. Sin embargo, este puerto predeterminado puede cambiarse durante la instalación o más tarde en el archivo de configuración. El listener de TNS está configurado para admitir varios protocolos de red, incluidos TCP/IP, UDP, IPX/SPX y AppleTalk. El listener también puede admitir múltiples interfaces de red y escuchar en direcciones IP específicas o en todas las interfaces de red disponibles. De forma predeterminada, Oracle TNS se puede gestionar de forma remota en Oracle 8i/9i, pero no en Oracle 10g/11g.
La configuración predeterminada del listener de TNS también incluye algunas características básicas de seguridad. Por ejemplo, el listener solo aceptará conexiones de hosts autorizados y realizará una autenticación básica utilizando una combinación de nombres de host, direcciones IP y nombres de usuario y contraseñas. Además, el listener utilizará Oracle Net Services para cifrar la comunicación entre el cliente y el servidor. Los archivos de configuración para Oracle TNS se llaman tnsnames.ora
y listener.ora
y se encuentran típicamente en el directorio $ORACLE_HOME/network/admin
. Estos archivos de texto plano contienen información de configuración para instancias de bases de datos Oracle y otros servicios de red que utilizan el protocolo TNS.
Oracle TNS se utiliza a menudo con otros servicios de Oracle como Oracle DBSNMP, Oracle Databases, Oracle Application Server, Oracle Enterprise Manager, Oracle Fusion Middleware, servidores web y muchos más. Se han realizado muchos cambios en la instalación predeterminada de los servicios de Oracle. Por ejemplo, Oracle 9 tiene una contraseña predeterminada, CHANGE_ON_INSTALL
, mientras que Oracle 10 no tiene una contraseña predeterminada establecida. El servicio Oracle DBSNMP también usa una contraseña predeterminada, dbsnmp
, que debemos recordar cuando la encontremos. Otro ejemplo sería que muchas organizaciones aún utilizan el servicio finger junto con Oracle, lo que puede poner en riesgo el servicio de Oracle y hacerlo vulnerable cuando tengamos el conocimiento de un directorio personal.
Cada base de datos o servicio tiene una entrada única en el archivo tnsnames.ora
, que contiene la información necesaria para que los clientes se conecten al servicio. La entrada consta de un nombre para el servicio, la ubicación de red del servicio y el nombre de la base de datos o servicio que los clientes deben utilizar al conectarse al servicio. Por ejemplo, un archivo tnsnames.ora
simple podría verse así:
tnsnames.ora
Aquí vemos un servicio llamado ORCL, que está escuchando en el puerto TCP/1521 en la dirección IP 10.129.11.102. Los clientes deben usar el nombre del servicio orcl
al conectarse al servicio. Sin embargo, el archivo tnsnames.ora
puede contener muchas de estas entradas para diferentes bases de datos y servicios. Las entradas también pueden incluir información adicional, como detalles de autenticación, configuraciones de agrupación de conexiones y configuraciones de balanceo de carga.
Por otro lado, el archivo listener.ora
es un archivo de configuración del lado del servidor que define las propiedades y parámetros del proceso del listener, que es responsable de recibir solicitudes de clientes entrantes y redirigirlas a la instancia de base de datos Oracle adecuada.
listener.ora
En resumen, el software Oracle Net Services del lado del cliente utiliza el archivo tnsnames.ora
para resolver nombres de servicios a direcciones de red, mientras que el proceso del listener utiliza el archivo listener.ora
para determinar los servicios a los que debe escuchar y el comportamiento del listener.
Las bases de datos Oracle pueden protegerse mediante el uso de una lista de exclusión PL/SQL (PLSQL Exclusion List). Es un archivo de texto creado por el usuario que debe colocarse en el directorio $ORACLE_HOME/sqldeveloper
y contiene los nombres de los paquetes o tipos de PL/SQL que deben excluirse de la ejecución. Una vez creado el archivo de la lista de exclusión PL/SQL, puede cargarse en la instancia de base de datos. Sirve como una lista negra que no se puede acceder a través del Oracle Application Server.
Antes de poder enumerar el listener TNS e interactuar con él, necesitamos descargar algunos paquetes y herramientas para nuestra instancia de Pwnbox en caso de que no los tenga ya. Aquí tienes un script Bash que hace todo esto:
Oracle-Tools-setup.sh
Probar ODAT
Después de ejecutar el script, podemos probar si la instalación fue exitosa ejecutando el siguiente comando:
ODAT (Oracle Database Attacking Tool) es una herramienta de prueba de penetración de código abierto escrita en Python, diseñada para enumerar y explotar vulnerabilidades en bases de datos Oracle. Puede usarse para identificar y explotar diversas fallas de seguridad en bases de datos Oracle, incluyendo inyecciones SQL, ejecución remota de código y escalamiento de privilegios.
Escaneo con Nmap
Primero, usemos nmap
para escanear el puerto predeterminado del listener de Oracle TNS.
Resultado del Escaneo
Podemos ver que el puerto está abierto y el servicio está en ejecución. En Oracle RDBMS, un Identificador de Sistema (SID) es un nombre único que identifica una instancia de base de datos particular. Puede tener múltiples instancias, cada una con su propio ID de Sistema. Una instancia es un conjunto de procesos y estructuras de memoria que interactúan para gestionar los datos de la base de datos. Cuando un cliente se conecta a una base de datos Oracle, especifica el SID de la base de datos junto con su cadena de conexión. El cliente utiliza este SID para identificar qué instancia de base de datos desea conectar. Si el cliente no especifica un SID, se usa el valor predeterminado definido en el archivo tnsnames.ora
.
Fuerza Bruta de SID con Nmap
Hay varias formas de enumerar, o mejor dicho, adivinar SIDs. Por lo tanto, podemos usar herramientas como nmap
, hydra
, odat
, entre otras. Primero usemos nmap
.
Resultado del Escaneo
ODAT
Para enumerar y recoger información sobre los servicios y componentes de la base de datos Oracle, podemos usar la herramienta odat.py
. En el siguiente ejemplo, se encontraron credenciales válidas para el usuario scott
con la contraseña tiger
:
Resultado de ODAT
Conexión con SQL*Plus
Una vez que tenemos las credenciales válidas, podemos usar sqlplus
para conectarnos a la base de datos Oracle e interactuar con ella.
Resultado de SQL*Plus
Si encuentras el error sqlplus: error while loading shared libraries: libsqlplus.so: cannot open shared object file: No such file or directory
, ejecuta el siguiente comando:
Enumeración de la Base de Datos
Una vez conectado, podemos usar comandos SQL*Plus para enumerar la base de datos manualmente. Por ejemplo, podemos listar todas las tablas disponibles en la base de datos actual o mostrar los privilegios del usuario actual:
Oracle RDBMS-Interaction
Mostrar Privilegios del Usuario
Aquí, el usuario scott
no tiene privilegios administrativos. Sin embargo, podemos intentar usar esta cuenta para iniciar sesión como el Administrador de Base de Datos (sysdba), lo que nos otorgaría privilegios más altos. Esto es posible si el usuario scott
tiene los privilegios apropiados, típicamente concedidos por el administrador de la base de datos o usados por el propio administrador.
Oracle RDBMS- Enumeración de la Base de Datos
Resultado de SQL*Plus como SYSDBA
Desde este punto, podríamos intentar recuperar los hashes de contraseñas de la tabla sys.user$
y tratar de descifrarlas fuera de línea. La consulta para esto sería algo como:
Oracle RDBMS-Extracción de Hashes de Contraseña
Para extraer los hashes de contraseña de la base de datos Oracle, puedes ejecutar la siguiente consulta en SQL*Plus:
Otra opción es cargar un archivo web al objetivo. Sin embargo, esto requiere que el servidor ejecute un servidor web y que conozcamos la ubicación exacta del directorio raíz del servidor web. Si sabemos qué tipo de sistema estamos tratando, podemos intentar las rutas predeterminadas:
Primero, es importante probar nuestro enfoque de explotación con archivos que no parezcan peligrosos para los sistemas de antivirus o detección/prevención de intrusiones. Por lo tanto, creamos un archivo de texto con una cadena y lo usamos para cargarlo en el sistema de destino.
Oracle RDBMS-Subir archivo
Cargar el Archivo Usando ODAT
El comando anterior carga el archivo testing.txt
desde tu máquina local al directorio C:\inetpub\wwwroot
en el servidor 10.129.204.235
.
Verificar la Carga del Archivo
Finalmente, podemos probar si el enfoque de carga de archivos funcionó usando curl
. Utiliza una solicitud GET HTTP para comprobar si el archivo está disponible, o puedes visitarlo a través de un navegador.
Resultado Esperado
Last updated