MySQL身份验证绕过漏洞

最新推荐文章于 2025-06-05 19:54:29 发布
最新推荐文章于 2025-06-05 19:54:29 发布
阅读量327 收藏 1
点赞数 10
CC 4.0 BY-SA版权
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Time_worm/article/details/143872556

一、漏洞原理

二、漏洞复现

环境布置

通过docker部署vulhub靶场

可以进入CVE-2012-2122目录下查看README查看相关信息

在CVE-2012-2212目录下通过docker启动靶场

第一种攻击方式

通过msf进行攻击        使用指定模块hashdump模块表示用hash值将密码保存在文件中、设定攻击机ip、设定线程个数

运行成功后保存在以下目录文件中

第二种攻击方式

shell命令攻击        前提:攻击机必须也安装了mysql客户端

执行1000次的for循环,循环做do到done之间的内容,通过root用户名,bad密码(随便输)登录192.168.137.218端口的mysql主机,2>/dev/null;即使命令出错将结果重定向到null中,等效于空

Time_worm
关注
6-4 MySQL身份验证绕过漏洞
weixin_43263566的博客
10-24 509
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。
Mysql 身份认证绕过漏洞CVE-2012-2122
NLXHBM的博客
04-24 3051
漏洞原理:当连接 MariaDB / MySQL 时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使 MySQL 认为两个密码是相同的。也就是说,只要知道用户名,不断尝试就能够直接登入 SQL 数据库。 修复:对数据库进行升级打补丁;在防火墙上关闭mysql端口 1.环境搭建 使用nmap扫描 使用nmap 对靶机进行扫描,查看所开放的端口,以及扫描数据库的版本信息 masscan --rate=10000 --ports 0-...
MySql身份认证绕过漏洞(CVE-2012-2122)
dgjkkhcf的博客
07-24 4935
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。.........
Mysql 身份认证绕过漏洞 CVE-2012-2122
最新发布
m0_73135216的博客
06-05 497
CVE-2012-2122 是一个影响 MySQL 和 MariaDB 的身份验证漏洞,存在于特定版本中任务一 介绍 CVE-2012-2122
Mysql身份验证绕过 漏洞CVE 2012-2122复现
weixin_72146684的博客
08-25 1418
在一个虚拟机中操作。
Mysql身份认证绕过漏洞复现(CVE-2012-2122
m0_74887243的博客
03-21 276
Mysql身份认证绕过漏洞复现(CVE-2012-2122
MySQL身份认证绕过漏洞
san3144393495的博客
04-19 246
先在ubtuntu虚拟机中搭建好靶场环境,在kill中进入攻击的模块第一种直接输入图片上的的代码可以直接攻击进去控制面板。出现红线上的就是攻击成功,已经创建了一个文件,这时候只需要进入这个文件然后查看密码表。第二种是远程代码攻击 ,进入攻击模块后 输入要攻击的ip的 输入run开始攻击。然后破解md5面膜,逆运算破译出来就是root用户的密码。MySQL身份认证绕过漏洞
Mysql 身份认证绕过漏洞
m0_64118193的博客
04-14 824
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库漏洞影响:在特定版本的 MySQL(如 5.1.x、5.5.x)中,攻击者通过重复尝试登录(约 300 次),可能绕过密码验证直接访问数据库。原因函数在密码校验时存在概率性误判(返回值非零时可能被误接受)。
Vulhub---Mysql身份认证绕过漏洞CVE-2012-2122
wyzhxhn的博客
10-25 1203
CVE-2012-2122
[漏洞复现]Mysql 身份认证绕过漏洞CVE-2012-2122
Vicl1fe的博客
12-24 3353
mysql身份验证绕过漏洞 出现这个漏洞
Mysql 身份认证绕过漏洞CVE-2012-2122)复现
weixin_57379923的博客
08-09 1075
这段代码的主要目的是尝试通过 MySQL 客户端连接到指定的数据库服务器,重定向错误输出以保持输出简洁。版 权 声 明:本博客所有文章除特别声明外,均采用。文章版权归作者所有,未经允许请勿转载!靶机:IP:192.168.100.40。作 者:PeiyuJue。将这些数字赋值给变量。
CVE-2012-2122 mysql/mariaDB身份认证漏洞
weixin_68177269的博客
08-12 647
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,不断的尝试登录连接,回导致MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。影响范围#所有的Mariadb和mysql版本:5.1.61、5.0.11、5.3.5、5.5.22。可见经过大数量的暴力登录之后,直接不需要密码登录到mysql。使用docker-compose 创建靶场环境。下载安装vulhub靶场环境。二、msf漏洞scan探测。不知道为什么没跑出来🥴。
CVE-2012-2122Mysql身份认证漏洞
weixin_45253622的博客
05-27 6478
目录 漏洞描述 影响版本 漏洞复现 使用MSF进行检测: 使用Linux执行命令进行爆破复现: ​使用python脚本进行复现: 漏洞修复 漏洞描述 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。 影响版本 MariaDB versions from 5.1...
Mysql 身份认证绕过漏洞CVE-2012-2122)操作实践
m0_53843429的博客
04-14 3562
1.使用vulhub搭建漏洞环境 2.在虚拟机上开启kali 3.输入你所搭建的靶机环境的ip地址 4. 使用run命令开始运行 5.入侵成功后就可以查看数据库中文件
数据库安全MySQL 身份认证漏洞CVE-2012-2122
网络安全领域___专研者.
11-10 980
MySQL 身份认证漏洞是一个身份认证绕过漏洞,该漏洞的核心原理涉及到 MySQL 在处理身份认证时的一个安全缺陷,这个漏洞可以使攻击者可以绕过安全身份认证,从而达到未经授权的方式进行访问 MySQL 数据库。
mysql 绕过身份雁阵
06-20
MySQL绕过身份验证通常指的是尝试未经授权访问MySQL数据库,这通常是非法的并且违反了数据库安全原则。如果遇到这种情况,通常有以下几种可能: 1. **弱密码或默认账户**:检查是否有使用默认或常见密码的用户,这些容易被破解。 2. **未授权的SSH隧道**:如果通过SSH或其他远程访问工具连接MySQL,可能会存在隧道被滥用的情况。 3. **未配置的安全设置**:数据库服务器可能没有正确配置,如允许从所有IP或没有限制的访问。 4. **错误的身份验证机制**:比如在旧版本中可能存在某种漏洞,可通过特定的SQL命令绕过认证。 5. **恶意软件或攻击**:数据库可能受到SQL注入、暴力破解等攻击。 重要的是保持数据库的安全,实践最佳实践,包括但不限于定期更新到最新版本,使用强壮的密码策略,限制对数据库的访问,启用SSL/TLS加密,以及定期审计安全日志。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值