zoukankan      html  css  js  c++  java
  • phpmyadmin 万能密码漏洞

    基本2.x.x 版本,空密码也能登录phpmyadmin ,'localhost'@'@''  

    查了下,基于mysql 数据库权限的漏洞造成

    默认会有一个user 为’’ 空的帐号

    ''@localhost

    mysql -u'' -p 直接能进数据库,把这个帐号删除就ok了 ,drop user ''@localhost

    或者升级高版本的phpmyadmin 。3.x 版本就没有的

    虽然这个权限不大,但是可以透过他上传木马。

    网上有些人说  

    ” 其实是类似--user=mysql --skip-grant-tables --skip-networking这样的启动方式,导致输入什么账户和密码都可以登录吧。 “

    其实是错误的,这玩样是启动脚本mysald_safe 的参数,跟这个漏洞没一点关系。 这个漏洞的触发完全是因为 mysql默认有一个空用户名和口令的帐号,''@localhost

    但是这个帐号权限比较小,只有usage ,也不能用outfile 语句导出处文件生产木马。

     

  • 相关阅读:
    php面试题-2
    排序算法-1
    php面试题-1
    ES6基础-4
    ES6基础-3
    mysql优化-1
    ES6基础-2
    vuecli 项目进行gzip压缩 使页面加载速度更快
    vueCli3 项目创建时,git bash 箭头选择无效问题
    gulp4简单用法和问题总结
  • 原文地址:https://www.cnblogs.com/gqdw/p/2720519.html
Copyright © 2011-2022 走看看