DBPwAudit是一个Java数据库密码审计工具,是一个可以执行在线审计密码质量的数据库引擎。该应用程序可以通过复制新的JDBC驱动程序到JDBC目录来添加额外的数据库驱动程序。
有两个配置文件,aliases.conf文件用于映射驱动程序名称,rules.conf文件告诉应用程序如何处理扫描过程中的错误消息。
兼容性
该工具已经过测试的数据库类型:
– Microsoft SQL Server 2000/2005
– Oracle 8/9/10/11
– IBM DB2 Universal Database
– MySQL
要求
由于授权问题,该工具没有预配置这些驱动程序,下面的链接可以用来找到这些驱动程序,需要把它们复制到jdbc目录。
JDBC驱动程序的连接:
– MySQL
– Oracle
用法
root@darknet:~# dbpwaudit
DBPwAudit v0.8 by Patrik Karlsson
----------------------------------------------------
DBPwAudit -s -d -D -U -P [options]
-s - Server name or address.//指定要审计服务器名称或者地址
-p - Port of database server/instance.//指定要审计数据库服务器或实例的端口号
-d - Database/Instance name to audit.//指定要审计的数据库或实例名称
-D - The alias of the driver to use (-L for aliases)//指定要使用驱动程序的别名(-L所列出的驱动程序别名)
-U - File containing usernames to guess.//指定用户字典
-P - File containing passwords to guess.//指定密码字典
-L - List driver aliases.//列出所有驱动程序别名
扫描服务器(-s 192.168.1.130),使用指定的数据库(-d testdb)和驱动程序(-D MySQL),使用root用户(-U root)和字典密码字典(-P /usr/share/wordlists/nmap.lst)来进行审计
root@darknet:~# dbpwaudit -s 192.168.1.130 -d testdb -D MySQL -U root -P /usr/share/wordlists/nmap.lst
你可以在这里下载DBPwAudit :dbpwaudit_0_8.zip