dbpwaudit是一个java数据库密码审计工具,是一个可以执行在线审计密码质量的数据库引擎。该应用程序可以通过复制新的jdbc驱动程序到jdbc目录来添加额外的数据库驱动程序。
有两个配置文件,aliases.conf文件用于映射驱动程序名称,rules.conf文件告诉应用程序如何处理扫描过程中的错误消息。
兼容性
该工具已经过测试的数据库类型:
– microsoft sql server 2000/2005
– oracle 8/9/10/11
– ibm db2 universal database
– mysql
要求
由于授权问题,该工具没有预配置这些驱动程序,下面的链接可以用来找到这些驱动程序,需要把它们复制到jdbc目录。
jdbc驱动程序的连接:
– mysql
– microsoft sql server 2005
– microsoft sql server 2000
– oracle
用法
root@darknet:~# dbpwaudit dbpwaudit v0.8 by patrik karlsson ---------------------------------------------------- dbpwaudit -s -d -d -u -p [options] -s - server name or address.//指定要审计服务器名称或者地址 -p - port of database server/instance.//指定要审计数据库服务器或实例的端口号 -d - database/instance name to audit.//指定要审计的数据库或实例名称 -d - the alias of the driver to use (-l for aliases)//指定要使用驱动程序的别名(-l所列出的驱动程序别名) -u - file containing usernames to guess.//指定用户字典 -p - file containing passwords to guess.//指定密码字典 -l - list driver aliases.//列出所有驱动程序别名
扫描服务器(-s 192.168.1.130),使用指定的数据库(-d testdb)和驱动程序(-d mysql),使用root用户(-u root)和字典密码字典(-p /usr/share/wordlists/nmap.lst)来进行审计
root@darknet:~# dbpwaudit -s 192.168.1.130 -d testdb -d mysql -u root -p /usr/share/wordlists/nmap.lst