Jak włamać się do SAPa :-)
Jakiś czas temu pisałem, jak można „odblokować” użytkownika SAP grzebiąc bezpośrednio w bazie. Pomimo, że jest to sposób dość wygodny i bardzo przydatny, to SAP ma dość ciekawą (i czasami bardzo przydatną cechę). Okazuje się, że użytkownik SAP* jest na tyle specjalny, że istnieje nawet wtedy, kiedy nie ma właściwego dla siebie wpisu w samym systemie. Innymi słowy – da się „na niego” zalogować nawet w sytuacji, w której tabela USR02 nie zawiera rekordu opisującego użytkownika o tej nazwie. Fajne, no nie?
Ale do rzeczy – jeżeli mamy fizyczny dostęp do bazy danych, a nie jesteśmy w stanie dostać się do samego SAPa, to możemy po prostu usunąć z tabeli USR02 wpis dla użytkownika SAP* i zalogować się na używając hasła „PASS”. Z jednym, czasami dość istotnym zastrzeżeniem – wartość parametru login/no_automatic_user_sapstar musi być równa zero. Jeżeli tak nie jest, to niestety opisana przeze mnie sztuczka nie zadziała.