DBPwAudit是一个Java数据库密码审计工具,是一个可以执行在线审计密码质量的数据库引擎。该应用程序可以通过复制新的JDBC驱动程序到JDBC目录来添加额外的数据库驱动程序。
有两个配置文件,aliases.conf文件用于映射驱动程序名称,rules.conf文件告诉应用程序如何处理扫描过程中的错误消息。
兼容性
该工具已经过测试的数据库类型:
– Microsoft SQL Server 2000/2005
– Oracle 8/9/10/11
– IBM DB2 Universal Database
– MySQL
要求
由于授权问题,该工具没有预配置这些驱动程序,下面的链接可以用来找到这些驱动程序,需要把它们复制到jdbc目录。
JDBC驱动程序的连接:
– MySQL
– Oracle
用法
root@darknet:~# dbpwaudit DBPwAudit v0.8 by Patrik Karlsson <patrik@cqure.net> ----------------------------------------------------
DBPwAudit -s <server> -d <db> -D <driver> -U <users> -P <passwords> [options]
-s - Server name or address.//指定要审计服务器名称或者地址 -p - Port of database server/instance.//指定要审计数据库服务器或实例的端口号 -d - Database/Instance name to audit.//指定要审计的数据库或实例名称 -D - The alias of the driver to use (-L for aliases)//指定要使用驱动程序的别名(-L所列出的驱动程序别名) -U - File containing usernames to guess.//指定用户字典 -P - File containing passwords to guess.//指定密码字典 -L - List driver aliases.//列出所有驱动程序别名 扫描服务器(-s 192.168.1.130),使用指定的数据库(-d testdb)和驱动程序(-D MySQL),使用root用户(-U root)和字典密码字典(-P /usr/share/wordlists/nmap.lst)来进行审计
root@darknet:~# dbpwaudit -s 192.168.1.130 -d testdb -D MySQL -U root -P /usr/share/wordlists/nmap.lst 你可以在这里下载DBPwAudit :dbpwaudit_0_8.zip
*消息来源darknet,本文编译:莫须有