Recuperar senha perdida do Oracle XE

Escrito por Thiago Galbiatti Vespa em 01/12/2010 · Deixe um comentário

Eu sou bem esquecido! E hoje esqueci a senha do meu Oracle XE, para recuperar é necessário realizar os seguintes procedimentos:

Acesse o sqlplus: sqlplus /nolog
Digite: conn / as sysdba
Digite: alter user NOMEDOUSUARIO identified by SENHA;

No meu caso eu mudei a senha do SYS. E tudo ok agora! Bem fácil.

Categorias: Base de dados, Oracle · Tags base de dados, oracle, segurança

Quebrando CAPTCHAs

Escrito por Thiago Galbiatti Vespa em 26/09/2010 · 34 Comentários

CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart“) são testes de Turing automatizados que tentam descobrir se você é um ser humano ou uma máquina. Em síntese os CAPTCHAs são aquelas imagenzinhas embaralhadas que aparecem quando você vai fazer um post em um blog, fazer consulta ou cadastro em alguns sites.

Por que utilizar? Ao utilizar um CAPTCHA em seu site, você evita que programas enviem spams, evita cadastros indevidos e tenta diminuir o uso informações automatizadas em outros sites. Um exemplo de uso é o meu formulário de contato.

Será que o CAPTCHA é realmente uma forma eficaz de descobrir se realmente é um ser humano que está realizando a operação? Se a gente consegue identificar o CAPTCHA, por que uma máquina não conseguiria? Um dos alunos meu perguntou se haveria uma forma de se realizar isso. A escolha foi o CAPTCHA da Receita Federal: http://www.receita.fazenda.gov.br/PessoaJuridica/CNPJ/cnpjreva/Cnpjreva_Solicitacao.asp

Por questões de segurança não irei disponibilizar o código, mas para fins acadêmicos, demonstrarei que é possível ultrapassar a barreira de alguns CAPTCHA. Alguns são fáceis, outros nem tanto.

Por exemplo, vamos ver o CAPTCHA do Facebook:

Captcha Facebook

Esse CAPTCHA é monocromático, o que facilita um pouco e os ruídos existentes são uma bola de fundo e o texto torto. O do Orkut/Google só tem o texto torto:

Captcha Orkut

Vamos ao da Receita Federal:

Captcha Receita Federal do Brasil

Esse CAPTCHA é muito mais complicado, há uma imagem de fundo que complica bastante, o texto está torto e são gerados vários tipos de CAPTCHAs diferentes, um com texto pontilhado, outro com um filtro esférico e esse da imagem com o texto torto em dois eixos. Vamos ao mais difícil. Fiz um programinha pra automatizar a tarefa.

O primeiro passo que eu fiz foi obter a imagem do CAPTCHA. Essa etapa é a mais fácil, o código para obter foi o seguinte:

java.awt.Toolkit.getDefaultToolkit()
.createImage(new URL("http://www.receita.fazenda.gov.br/scripts/srf/intercepta/captcha.aspx?opt=image"));

Com essa imagem eu converto para uma BufferedImage e consigo pegar os valores de cada pixel pelo método getRGB(x,y) e posso montar minha matriz. Agora é só relembrar da época da Graduação e Mestrado: Geometria Analítica, Cálculo Numérico, Álgebra Linear, Computação Gráfica, Extração de Características, … No meu Mestrado trabalhei bastante com extração de características de imagens médicas: forma, cor, textura, identificação de cluster, … os conceitos são os mesmo, as características que mudam.

Os passos que executei para o texto torto e fonte forte foram:

Utilizar um filtro de eliminação de ruídos. Implementei um filtro de mediana.
Reduzir o espaço de cores da imagem.
Utilizar uma transformação para “endireitar a imagem”. No caso utilizei duas funções cosseno. y=a*cos(b*x)+c e x=d*cos(e*f)+g. O mais difícil foi identificar os coeficientes. Fui na tentativa e erro. Ainda não está 100%.
Dividir os caracteres. Poderia ser utilizado um k-means com k=4. Já que sempre são 4 letras.
Extrair os caracteres e utilizar para treinamento no OCR. Realizar essas etapas com um número bom de letras. Obter o alfabeto todo seria o ideal.
Aplicar o OCR identificando o texto.

Segue o programinha:

Convert Image

A primeira imagem é a original. A segunda é com o filtro de mediana aplicado. A terceira com a redução do espaço de cores. A quarta é com o “endireitamento” da imagem. E a quinta imagem é com a seleção de caracteres.

Convert Image-1

Para fontes pontilhadas o filtro de ruídos tem que ser um pouco mais suave. Ele erra bastante, mas também acerta. Cada operação dessa demora poucos milissegundos, como não há limite de tentativas e nem tempo de espera no site da Receita Federal, mesmo com vários erros a velocidade de descoberta do valor do CAPTCHA é muito baixa, poucos segundos. O mais demorado é o treinamento do OCR que é feito uma única vez. Para OCR utilizei a biblioteca JavaOCR.

Para demonstrar o “endireitamento” da imagem, que foi o que mais deu trabalho, pois foi na tentativa e erro, vou exibir uma imagem utilizando somente essa transformação, aí fica fácil entender o motivo das últimas imagens serem maiores. Eu poderia ter identificado pontos da imagem e feito interpolação de pontos para traçar uma curva, mas como é só pra conceito, fiz da forma que achei mais simples.

Endireitamento

Criei um filtro de “efeito bandeira” . Por isso que a imagem fica maior. Portanto, se você quer um sistema seguro, a primeira dica é, coloque um limite máximo de tentativas, obrigue uma espera de alguns minutos para a próxima tentativa e coloque algumas perguntas inteligentes além do CAPTCHA.

Categorias: Java · Tags aplicativos, imagem, java, matemática, ocr, segurança

Recuperar senha do Weblogic

Escrito por Thiago Galbiatti Vespa em 17/09/2010 · Deixe um comentário

Tive um problema com a senha do Weblogic e resolvi criar soluções para resetar a senha. O inconveniente é que não recuperamos a senha e sim apagamos e criamos ela novamente. E se quisermos recuperar? Primeiro vamos à solução de apagar a senha, após isso veremos como recuperar a senha sem a necessidade de apagá-la – ideal e menos trabalhoso.

Existem vários “how-to” na internet para resetar a senha do Weblogic, mas para facilitar criei um bash script.

Esse script só funciona para servers que utilizem o DefaultAuthenticator.

Segue abaixo o código dele:

#!/bin/sh

# Author: Thiago Galbiatti Vespa
# 09/17/2010

## Please configure this variables
WL_HOME="/home/thiago/Oracle/Middleware/wlserver_10.3/server/bin"
DOMAIN_HOME="/home/thiago/Oracle/Middleware/user_projects/domains/sample_domain"
ADMIN_SERVER_NAME="AdminServer"
BACKUP_HOME="/home/thiago/domainBckp"
### End

NEW_USERNAME="$1"
NEW_PASSWORD="$2"

if [ -z $1 ] ; then
echo "Please inform the new username!";
exit 1;
fi
if [ -z $2 ] ; then
echo "Please inform the new password!";
exit 1;
fi

NOW=`date +%y%m%d%H%m`

# Backup the domain
tar cvzf ${BACKUP_HOME}/${ADMIN_SERVER_NAME}-${NOW}.tar.gz ${DOMAIN_HOME}

# Weblogic enviroment
. ${WL_HOME}/setWLSEnv.sh

# New DefaultAuthenticatorInit.ldift
java weblogic.security.utils.AdminAccount ${NEW_USERNAME} ${NEW_PASSWORD} .

# Move DefaultAuthenticatorInit.ldift to security dir
mv DefaultAuthenticatorInit.ldift ${DOMAIN_HOME}/security/DefaultAuthenticatorInit.ldift

# Replace the old boot.properties
echo "username=$1" > ${DOMAIN_HOME}/servers/${ADMIN_SERVER_NAME}/security/boot.properties
echo "password=$2" >> ${DOMAIN_HOME}/servers/${ADMIN_SERVER_NAME}/security/boot.properties

# This folder will be recreated
rm -rf ${DOMAIN_HOME}/servers/${ADMIN_SERVER_NAME}/data/ldap/

Para o Weblogic Portal que utiliza o SQLAutenticator como padrão, basta alterar na tabela de usuários e grupos, utilizando o código abaixo.

INSERT INTO USERS (U_NAME, U_PASSWORD, U_DESCRIPTION) VALUES ('portaladmin', '{SHA-1}lkBtwhsv3pYGt25u4h8/vG/HsCA=', 'Admin for portal domain')

INSERT INTO GROUPMEMBERS (G_NAME, G_MEMBER) VALUES ('Administrators', 'portaladmin');

INSERT INTO GROUPMEMBERS (G_NAME, G_MEMBER) VALUES ('PortalSystemAdministrators', 'portaladmin');

Achei também alguns códigos que prometem recuperar a senha do Weblogic, o problema é que ele só funciona com 3DES e não com AES. Que é a criptografia que está sendo utilizada pelo meu Weblogic 10.3.2.

Funçando um pouco nas classes do Weblogic achei algumas responsáveis pela criptografia. Deu um bom trabalho para descobrir como o Weblogic fazia, pois envolve criptografia AES e classes internas do Weblogic, mas foi a melhor pro meu caso e agora é bem simples de se executar. Basta passar o serviço de criptografia do Weblogic e mandar descriptografar .

EncryptionService es=SerializedSystemIni.getEncryptionService(secFolder);
ClearOrEncryptedService ces= new ClearOrEncryptedService(es);
System.out.println(ces.decrypt(pass));

Pronto! Estou disponibilizando também essa classe pra quem só quiser executar. O comando para executar é o seguinte:

java -cp ${WL_HOME}/wlserver_10.3/server/lib/weblogic.jar:thiagovespa-weblogic-utils.jar br.com.thiagovespa.weblogic.util.RecoverLostPass ${DOMAIN_HOME}/security ${SENHA}

por exemplo:

java -cp /home/thiago/Oracle10.3.2/Middleware/wlserver_10.3/server/lib/weblogic.jar:thiagovespa-weblogic-utils.jar br.com.thiagovespa.weblogic.util.RecoverLostPass /home/thiago/Oracle10.3.2/Middleware/user_projects/domains/as_domain/security {AES}kox/gGlyD4HZ7iAUEONYD0AQBJZaI88USMYbFxbwc7c=

E o dado descriptografado irá aparecer no console! Funciona em Windows também .

Categorias: Java, JEE, Oracle, WebLogic · Tags aes, java, oracle, segurança, weblogic, weblogic portal

« Página Anterior

Pesquisar por:
Tags
adf android aplicativos base de dados bdjo blu-ray bpm bug c/c++ cdc certificado eclipse html https imagem java java7 javascript jboss jdeveloper jee jme linux lwuit matemática netbeans oim oracle palestra pbp plugin python reflection segurança servlet 3.0 soa ssl subversion tomcat tv digital ubuntu weblogic weblogic portal webservices x509
Categorias
Twitter
- Tem até page no facebook! http://t.co/499ExnKW 2 weeks ago
- Banda do @cesarfusca : http://t.co/6A8xAHEh 2 weeks ago
- Teste de aplicação de TV Digital para o javanoroeste 3 weeks ago
- Mais...
Posting tweet...
Doação via PayPal

Donation Amount:
(Currency: USD)
Links
Arquivos
Siga-me
QRCode
Follow @thiagovespa
Javanoroeste
- [Boletim Globalcode 2012 #10] Novos Cursos Amazon AWS, Reunião SouJava, JustJava, Academia do Programador com Program-ME 16/05/2012
  ** Se você não está visualizando este boletim corretamente, clique aqui. […]
- [nbweekly] NetBeans News, a newsletter for the NetBeans community Issue # 537 16/05/2012
  Issue # 537 - May 16, 2012 Project News Summer Internship for NetBeans Development A summer internship for NetBeans projects is being set up by NetBeans Dream Team member Emilian Bold's company. Read all about it here and gain some […]
- [noticias] Reuniao SouJava (dia 17) e JustJava (dias 18 e 19) 14/05/2012
  De: Bruno F. Souza Pessoal, Nesta semana teremos o JustJava (dias 18 e 19/maio) e a presença dos membros do JCP Executive Committee no Brasil, para uma reunião presencial. Aproveitando esta oportunidade o SouJava e a IBM organizaram um evento, aberto e sem custos, com palestras técnicas e apresentação das JSRs do […]
- Novo post - Tutorial - Como criar um CRUD em Java com JDBC - Parte 1 14/05/2012
  Bom dia galera Venho informar que eu fiz um post novo no meu blog. Como criar um CRUD em Java com JDBC Segue o link abaixo [link] Espero que gostem Até +. […]
- MadrugadaException - Como recuperar dados de um arquivo .properties 14/05/2012
  Hey! Fiz mais um vídeo... dessa vez sobre recuperação de dados em arquivos de propriedades(.properties). Para quem se interessar segue o link: [link] ou [link] Críticas ou sugestões, só falar comigo! Valeu! :) […]
Globalcoders
- Mobilidade pegando fogo na Globalcode! AndroidRec, AND1 on-line, TDC, minicursos e etc... 07/05/2012
  Ola pessoal, O assunto mobile está cada vez mais pegando fogo aqui na Globalcode ! Vários minicursos, novas turmas de Android, eventos e muito mais. É sempre muito bom quando o trabalho tem efeito e rende frutos em tão pouco tempo!! Recentemente fui convidado pelo pessoal da AndroidRec a ir até Recife para participar do evento. O evento aconteceu no dia 28 d […]
- Conversando com especialista: JavaFX, durante o JFokus 07/05/2012
  O JavaOne India começa amanhã, e nada melhor do que encerrar um projeto antes de começar outro! Vale a pena assistir a mini-entrevista realizada por Fabiane Nardon com Michael Heinrichs da Oracle durante o JFokus na Suécia. Se você quer saber mais sobre JavaFX, não perca o JustJava, com a participação do especialista Stephen Chin. É isso ai pessoal, um post […]
- Globalcode e Neto Marin na Info falando de Windows Phone! 02/05/2012
  Bom dia pessoal, Na semana passada tivemos a honra de ser convidados a bater um papo com o jornalista Rafael Ferrer da Info Online, e o papo foi sobre o mercado de trabalho e aplicativos para o Windows Phone e que foi publicada na matéria "Vale a pena desenvolver para Windows Phone?". A principal mensagem que tentei passar, e que foi destacada na m […]
- Apresentando Projeto jHome na London Java Community 24/04/2012
  Deste que o projeto jHome foi lançado e ganhou o prêmio Duke's Choice Award / Oracle Innovation Award nós tivemos a honra de sermos convidados a apresentar o projeto em vários eventos, e estamos aproveitando cada minuto e investindo ainda mais pra fazer o projeto decolar! Quando fomos para o JFokus, na Suécia aproveitamos para conhecer a terra dos Beatl […]
- Globalcode e EletronLivre no JFokus na Suécia 24/04/2012
  Antes tarde do que nunca! Esta é uma motivação para este post atrasado, já que o JFokus foi realizado em fevereiro. Mas, foi tão bom, e aconteceram tantas coisas importantes, que resolvi compartilhar mesmo atrasadíssimo. O evento foi uma surpresa incrível: Evento e hotel integrados, um conforto gigante considerando a baixa temperatura, que na verdade não est […]