当前位置：首页 > news >正文

【中危】Oracle TNS Listener SID 可以被猜测

news 2025/11/6 22:10:43

一、漏洞详情

Oracle 打补丁后，复测出一处中危漏洞：Oracle TNS Listener SID 可以被猜测。

可以通过暴力猜测的方法探测出Oracle TNS Listener SID，探测出的SID可以用于进一步探测Oracle 数据库的口令。

建议解决办法：

1. 不应该使用安装Oracle时默认的SID(ORCL)，应该设置复杂度较高的SID。
2. 对于短时间内难以通过第1种方式修补漏洞的情况，应考虑加强主机和网络层面的访问控制策略。例如采用白名单的方式，仅允许授权主机IP访问该端口，避免漏洞被攻击者恶意利用。

二、方案分析

以上方案都可，但是一般不建议改SID，因为涉及改动可能会比较多。因此，本次采用第二种办法，即白名单方式。

白名单方式有两种：1）服务器层面-白名单，开启防火墙，指定IP才能访问服务器。

2）数据库层面-白名单，指定IP才能连接数据库。

第一种方式，简单粗暴又有效，直接限制IP即可。√ 直接采用即可

第二种方式，某些IP可访问服务器，但是无法访问该数据库，以下第三章节为实验尝试。

三、实验尝试（数据库层面）

3.1实验前

14服务器作为测试服务器，文件及查看如下：

1）文件：$ORACLE_HOME/network/admin/sqlnet.ora

2）连库：

sqlplus nh_dw_aml/aml1102@192.168.3.14/orclpdb1

3.2修改

1）修改 sqlnet.ora :

vim $ORACLE_HOME/network/admin/sqlnet.ora

增加内容：

#需要设置成yes，方可激活生效
tcp.validnode_checking = yes#允许访问的IP                                   
tcp.invited_nodes=(192.168.3.14,192.168.3.16,192.168.4.159)#不允许访问的IP
#tcp.excluded_nodes=(10.240.1.8,10.240.1.7)

结果：cat sqlnet.ora

2）重启监听：

当监听的实例还未注册好时，会提示：

ERROR:
ORA-12514: TNS:listener does not currently know of service requested in connect
descriptor

Enter user-name:
ERROR:
ORA-01017: invalid username/password; logon denied

过一会，监听再次查看。实例注册后，即可正常连库。

3）查看结果：

A.本地客户端连接：

B.14服务器本地查看（名单内）：OK

C.16服务器本地查看（名单内）：OK

D.13服务器查看（非名单内）：NO ORA-12547连接丢失

3.3实验总结

名单内，正常访问

非名单内，提示ORA-12547: TNS:lost contact（连接丢失）
Enter user-name:

命令清单：

su - oracle

vim $ORACLE_HOME/network/admin/sqlnet.ora

tcp.validnode_checking = yes #需要设置成yes，方可激活生效
tcp.invited_nodes=(192.168.3.14,192.168.3.16,192.168.4.159) #允许访问的IP
#tcp.excluded_nodes=(10.240.1.8,10.240.1.7) #不允许访问的IP

lsnrctl stop

lsnrctl start

lsnrctl status

连接测试：sqlplus 用户名/密码@ip/pdb实例名

四、最终结果

开启服务器防火墙，将可访问IP配入白名单。

复测，漏洞消失。ok

【中危】Oracle TNS Listener SID 可以被猜测

一、漏洞详情 Oracle 打补丁后，复测出一处中危漏洞：Oracle TNS Listener SID 可以被猜测。可以通过暴力猜测的方法探测出Oracle TNS Listener SID，探测出的SID可以用于进一步探测Oracle 数据库的口令。建议解决办法： 1. 不应该使…...

编程日记 2024/10/17 5:10:27

三维测量与建模笔记 - 简介

计算机视觉相关主题主要有两个最主要的层面，几何和语义。几何层面描述了客观事实，比如物体的距离、大小、形状、位置等。语义层面则是从人类抽象出的概念出发，描述了物体是什么、行为是什么、为什么，比如自动驾驶场景中识别出信号…...

编程日记 2024/10/17 5:08:25

文章目录 1 引入依赖2 图片形状2.1 圆形 CircleCrop2.2 旋转 Rotate2.3 圆角 RoundedCorners2.4 自定义圆角 GranularRoundedCorners 1 引入依赖 implementation("com.github.bumptech.glide:glide:4.16.0")2 图片形状 2.1 圆形 CircleCrop Glide.with(this).load…...

编程日记 2024/10/17 5:07:24

flutter 使用三方/自家字体

将字体放入assets/fonts下在pubspec.yaml文件中flutter下添加如下代码： flutter:fonts:- family: MyCustomFontfonts:- asset: assets/fonts/MyCustomFont.ttf 在flutter Text widget中使用字体 import package:flutter/material.dart;void main() > runApp(…...

编程日记 2024/10/17 5:06:23

2024台州赛CTFwp

备注： 解题过程中，关键步骤不可省略，不可含糊其辞、一笔带过。解题过程中如是自己编写的脚本，不可省略，不可截图（代码字体可以调小；而如果代码太长，则贴关键代码函数）。…...

编程日记 2024/10/17 5:05:21

词根plac-和place、please

英文有一个词根和单词place(v.放，放置 n.位置，地方；位，职位)长得很像，这个词根就是plac-，它有两个语义：高兴，愉悦；平静，抚平。其实，place这个单…...

编程日记 2024/10/17 5:04:20

ubuntu下route命令详解

buntu下route命令详解 1、显示路由表 route -n2、临时路由设置，重启网卡失效#添加一条路由(发往192.168.62这个网段的全部要经过网关192.168.1.1)route add -net 192.168.62.0 netmask 255.255.255.0 gw 192.168.1.1#删除一条路由　删除的时候不用写网关route del …...

编程日记 2024/10/17 5:00:16

13.java面向对象：面向对象的三大特征

java面向对象：面向对象的三大特征面向对象的三大特征1.封装get和set规范属性的合法化 2.继承类继承子类调用父类方法super的用法通过super调用父类public的属性super注意点super对比this 方法重写静态方法中奇怪的现象非静态方法 3.多态多态存在的条件多态中成员访…...

编程日记 2024/10/17 4:58:15

【VUE】Vue中的内置组件

Vue2中的内置组件： <component>：动态组件，可以根据传递的 is 属性值渲染不同的组件。<transition>：过渡动画组件，可以在元素插入、更新或移除时添加动画效果。<transition-group>：过渡动…...

编程日记 2024/10/17 4:57:13

若依框架篇-若依框架搭建具体过程、后端源代码分析、功能详解（权限控制、数据字典、定时任务、代码生成、表单构建、接口测试）

🔥博客主页： 【小扳_-CSDN博客】 ❤感谢大家点赞👍收藏⭐评论✍ 文章目录 1.0 若依框架概述 1.1 若依构建 1.2 后端项目搭建 1.3 前端项目搭建 2.0 利用若依框架生成前后端代码案例 3.0 功能详解 3.1 功能详解 - 权限控制 3.1.1 使用权限控制…...

编程日记 2024/10/17 4:56:13

恢复已删除文件的 10 种安卓数据恢复工具

由于我们现在在智能手机上存储了大量重要文件，因此了解数据恢复工具变得很重要。您永远不会知道什么时候需要使用安卓数据恢复工具。由于不乏 Windows 数据恢复工具，因此从崩溃的计算机中恢复文件很容易。但是，当涉及到从安卓恢复数据时…...

编程日记 2024/10/17 4:55:12

Internet Download Manager2025快速下载，新功能解锁！

🌟下载界的“速度与激情”：Internet Download Manager超燃体验！🔥 嘿，各位小伙伴们！👋今天我要来给你们安利一个让我上网冲浪效率翻倍的神奇软件——Internet Download Manager（简称…...

编程日记 2024/10/17 4:54:09

传感器应用注意事项

一、通断型传感器多数活动部件可直接作为导电材料的传感器为通断型传感器，在受力的条件下，其两个引脚的通断状态会发生改变。常见通断型传感器单通道按键多通道按键拨码开关接线帽磁力开关轻触开关… 通断型传感器无需供电，其控制环路…...

编程日记 2024/10/17 4:53:07

PayPal美区账号注册指南

PayPal作为一种便捷的在线支付方式，受到了广大用户的青睐。特别是对于那些需要在美国购物或者进行交易的人来说，注册并正确使用美国地区的PayPal账户显得尤为重要。本次小编会教大家如何注册和使用美区PayPal账户，并讨论是否需要“养号”的问…...

编程日记 2024/10/17 4:52:05

《鸟哥的Linux私房菜基础篇》---1 Linux的介绍与如何开启Linux之路

目录一、Linux的简单介绍 1、Linux的简介 2、Linux的起源与发展 3、主要特点 4、应用场景二、开启Linux之路 1、学习Linux的相关知识 2、正规表示法、管线命令、数据流重导向前言整体大纲预览一、Linux的简单介绍 1、Linux的简介 （1）Linu…...

编程日记 2024/10/17 4:51:04

选择排序，插入排序，快速排序的java简单实现

代码功能以下Java代码包含了三个排序算法的实现： 选择排序（Selection Sort）：通过不断选择剩余元素中的最小值来排序数组。插入排序（Insertion Sort）：通过构建有序序列，对于未排序…...

编程日记 2024/10/17 4:50:03

数据库中，超出范围和溢出问题的一些处理方法

在数据库中，超出范围和溢出问题通常与数据类型、索引、以及数据存储的容量限制有关。以下是处理这些问题的一些方法： ### 1. 数据类型超出范围 **原因**： - 当尝试将超出数据类型范围的值插入到列中时，会发生错误。 **解决方法…...

编程日记 2024/10/17 4:49:03

Re75 读论文：Toolformer: Language Models Can Teach Themselves to Use Tools

诸神缄默不语-个人CSDN博文目录诸神缄默不语的论文阅读笔记和分类论文全名：Toolformer: Language Models Can Teach Themselves to Use Tools 论文下载地址：https://arxiv.org/abs/2302.04761 这篇文章是介绍tool learning的，大概来说就是…...

编程日记 2024/10/17 4:48:01

Android App系统签名

1.在AndroidManifest中添加 android:sharedUserId"android.uid.system" 2.获取系统签名把以下所有文件放入同一个文件夹命名为sign 在Android系统源码中的\build\target\product\security目录下找到platform.x509.pem 和 platform.pk8两个文件； 在out/…...

编程日记 2024/10/17 4:47:00

Shiro认证（Authentication）

Shiro简介：特性和架构 Apache Shiro是一个功能强大且易于使用的Java安全（权限）框架，提供了认证、授权、会话管理、加密、与Web集成、缓存等功能。Shiro不仅可以在JavaSE环境中使用，也可以在JavaEE环境中使用。特性 …...

编程日记 2024/10/17 4:45:58

多云管理“拦路虎”：深入解析网络互联、身份同步与成本可视化的技术复杂度

一、引言：多云环境的技术复杂性本质企业采用多云策略已从技术选型升维至生存刚需。当业务系统分散部署在多个云平台时，基础设施的技术债呈现指数级积累。网络连接、身份认证、成本管理这三大核心挑战相互嵌套：跨云网络构建数据…...

编程新知 2025/11/6 0:49:25

Prompt Tuning、P-Tuning、Prefix Tuning的区别

一、Prompt Tuning、P-Tuning、Prefix Tuning的区别 1. Prompt Tuning（提示调优）核心思想：固定预训练模型参数，仅学习额外的连续提示向量（通常是嵌入层的一部分）。实现方式：在输入文本前添加可训练的连续向量（软提示），模型只更新这些提示参数。优势：参数量少（仅提…...

编程新知 2025/11/5 22:16:02

【大模型RAG】Docker 一键部署 Milvus 完整攻略

本文概要 Milvus 2.5 Stand-alone 版可通过 Docker 在几分钟内完成安装；只需暴露 19530（gRPC）与 9091（HTTP/WebUI）两个端口，即可让本地电脑通过 PyMilvus 或浏览器访问远程 Linux 服务器上的 Milvus。下面…...

编程新知 2025/11/3 20:05:00

vue3 字体颜色设置的多种方式

在Vue 3中设置字体颜色可以通过多种方式实现，这取决于你是想在组件内部直接设置，还是在CSS/SCSS/LESS等样式文件中定义。以下是几种常见的方法： 1. 内联样式你可以直接在模板中使用style绑定来设置字体颜色。 <template><div :s…...

编程新知 2025/10/6 20:49:11

【单片机期末】单片机系统设计

主要内容：系统状态机，系统时基，系统需求分析，系统构建，系统状态流图一、题目要求二、绘制系统状态流图题目：根据上述描述绘制系统状态流图，注明状态转移条件及方向。三、利用定时器产生时…...

编程新知 2025/11/6 21:53:59

自然语言处理——Transformer

自然语言处理——Transformer 自注意力机制多头注意力机制Transformer 虽然循环神经网络可以对具有序列特性的数据非常有效，它能挖掘数据中的时序信息以及语义信息，但是它有一个很大的缺陷——很难并行化。我们可以考虑用CNN来替代RNN，但是…...

编程新知 2025/10/30 5:56:22

DeepSeek 技术赋能无人农场协同作业：用 AI 重构农田管理 “神经网”

目录一、引言二、DeepSeek 技术大揭秘2.1 核心架构解析2.2 关键技术剖析三、智能农业无人农场协同作业现状3.1 发展现状概述3.2 协同作业模式介绍四、DeepSeek 的 “农场奇妙游”4.1 数据处理与分析4.2 作物生长监测与预测4.3 病虫害防治4.4 农机协同作业调度五、实际案例大…...

编程新知 2025/9/24 13:35:36