Die Injektion eines Benutzer-account in mySQL
https://stackoverflow.com/questions/105645
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Die Bewältigung einer seltsamen Szenario hier.
Wir verwenden eine proprietäre workstation-management-Anwendung, die verwendet mySQL zum speichern der Daten.Innerhalb der Anwendung, die Sie bereitstellen Reihe von berichten, wie welcher Benutzer angemeldet ist, welche Maschine zu welchem Zeitpunkt, alle software-Produkte installiert, auf der überwachten Maschinen, und so weiter und so Fort.Wir sind auf der Suche nach einer anderen Gruppe von berichten, jedoch, Sie tun keine Unterstützung für benutzerdefinierte Berichte.
Seit Ihrer Daten in mySQL gespeichert sind, entnehme ich, ich kann das reporting manuell.Ich weiß nicht über gültige Anmeldeinformationen für die Verbindung zum mySQL-server though. Es ist trotzdem für mich um ein Benutzerkonto zu erstellen, in dem mySQL-server? Ich will nicht zum zurücksetzen des root-Passworts oder irgendetwas Konto an, das könnte sein, wie es vielleicht brechen Sie die Anwendung.
Ich habe vollen Zugriff auf den Windows 2003-server.Ich kann anhalten und Neustarten von Diensten, einschließlich der mySQL-server.Um die aktuelle mySQL-server, ich habe nur Basis-Zugang über die GUI software.Ich kann nicht schließen Sie es direkt über die CLI oder über ein anderes Programm (durch die fehlende Anmeldeinformationen).
Ich entschuldige mich, wenn es kam aus, als ob ich versuche, den unbefugten Zugriff auf den mySQL-server.Ich habe Kontakt mit der software-Firma und heute sind es zwei Wochen, ohne eine Antwort von Ihnen.Ich brauche, um an die Daten.Ich habe vollen Zugriff auf den physischen box habe ich admin-Privilegien auf Sie.
Lösung
Sie wollen verwenden Sie das MySQL-Passwort recovery-Prozess.Folgen diese Anweisungen, außer ersetzen die Passwort-reset Abfrage mit einer Abfrage einen neuen Benutzer hinzufügen.Der neue Benutzer die Abfrage wäre so etwas wie:
GRANT ALL ON *.* TO 'myuser'@'localhost' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;
Erstellen Sie einen neuen Benutzer "myuser" mit dem Passwort "meinpasswort", wer kann anmelden, um MySQL über das lokale system CLI.Anschließend können Sie mit dem MySQL Administrator GUI (download hier) und aktualisieren Sie die Benutzer-Berechtigungen, so können Sie sich von den anderen Systemen im Netzwerk.Oder verwenden Sie die GRANT Anweisung von der CLI, wenn das mehr Ihr Stil sein.
Andere Tipps
Sie haben Zugriff auf den MySQL-server in Frage?
Wie in, was-Zugang haben Sie über das hinaus, was ein normaler Benutzer würde?Sollten Sie versuchen zu gehen, durch die Sie die Routen, bevor Sie "hack", die Ihren Weg in es, da, die möglicherweise oder möglicherweise nicht möglich, mit dieser software.
Chancen sind, gibt es Trigger, die auf der Datenbank-Seite halten Sie ein Protokoll, so, wenn Sie hacken sich in die Datenbank Sie wissen, Wann und wie Sie es getan haben.Keine gute Idee.
Ich nehme an, ich sollte wirklich nicht diese eine Antwort, aber es ist gerade zu viel Spaß.
Schauen Diese Seite über SQL-Injektionen.Sollten Ihre Bedürfnisse abdecken.Diese Seite zeigt, wie durch hinzufügen von Benutzerkonten zu mySQL
Ich würde versuchen Sie, die folgenden in zufälliger Benutzer Eingabefelder:
p'; INSERT INTO user VALUES
('localhost','myNewAdmin',PASSWORD('some_pass'), 'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y');
und dann
p'; FLUSH PRIVILEGES;
p';soll in der Nähe, die regelmäßige Frage.e.g - Normale Frage ist:
"Select Adress from cusomers where custName = ' + $INPUT + ';
wird
Select Adress from cusomers where custName = 'p'; INSERT INTO user
VALUES('localhost','myNewAdmin',PASSWORD('some_pass'),
'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y');
Eine Sache, die Sie daran schnüffelt die Datenbank Kommunikation und hoffe, es ist nicht verschlüsselt.Wenn es verschlüsselt ist, versuchen Sie, die Konfiguration von SSL und starten Sie mysql.Eine gute sniffer, die ich benutze, ist Wireshark
MySQL unterstützt sicheren (verschlüsselt) verbindungen zwischen MySQL-clients und der server mit dem Secure-Sockets Layer - (SSL) Protokoll.In diesem Abschnitt beschreibt die Verwendung von SSL-verbindungen.Es beschreibt auch einen Weg, um set up SSH auf Windows.Für Informationen, wie Benutzer erfordert die Verwendung von SSL-verbindungen siehe die Diskussion der Klausel der GRANT-Anweisung in Abschnitt 12.5.1.3, "GRANT Syntax".
Die standard-Konfiguration von MySQL soll so schnell wie möglich, so verschlüsselte verbindungen werden nicht durch Standard.Dabei machen würde, das client/server-Protokoll wesentlich langsamer.Die Verschlüsselung von Daten ist eine CPU-intensive der Betrieb erfordert, dass der computer zusätzliche Arbeit und Verzögerungen andere MySQL-Aufgaben.Für Anwendungen benötigen Sicherheit zur Verfügung gestellt von verschlüsselte verbindungen, das extra Berechnung gerechtfertigt ist.
MySQL ermöglicht die Verschlüsselung aktiviert werden auf eine per-connection basis.Sie können wählen Sie eine normale unverschlüsselte Verbindung oder eine sichere verschlüsselte SSL-Verbindung entsprechend den Anforderungen von die einzelnen Anwendungen.
Sichere verbindungen werden basierend auf den OpenSSL-API zur Verfügung und sind durch die MySQL-C-API.Die Replikation der C-API, so dass die verbindungen sicher sein kann zwischen master-und slave-Server.
Sie haben wahrscheinlich schon getan, aber noch versuchen Sie, die Suche durch die Anwendungen config-Dateien.Wenn es nichts - versuchen Suche durch die ausführbaren Programme/source-code - vielleicht ist es im nur-Text-wenn Sie Glück haben.
