一、弱口令
mysql常用的用户名为root,root默认口令为空;mysql没有强制口令复杂度限制。下面对测试过程进行还原。
1.1 环境
爆破工具:MysqlPasswordAuditor ,该工具匹配到第一个密码即停止
数据库:mysql-5.7.16
1.2 root账户未开启远程访问
(1)数据库中root账户未开启root远程访问
(2)防火墙未过滤mysql端口
(3)mysql连接测试
报错1130,表示root未开启远程访问
1.3 root账户开启远程访问
(1)数据库中root账户开启root远程访问
(2)防火墙未过滤mysql端口
(3)mysql连接测试
报错1045,表示密码错误;密码正确时,显示“连接成功”
1.4 防火墙过滤的影响
当防火墙过滤3306端口,或者仅指定IP可访问3306端口时,我们看到的端口状态为“filtered”,如下图
此时,不论root账户是否开启远程访问,都将是尝试建立连接状态,然后报2003错,如下图