低版本mysql客户端连接高版本_◆ Mysql低版本存在的远程访问漏洞

最新推荐文章于 2022-11-01 10:21:08 发布
最新推荐文章于 2022-11-01 10:21:08 发布
阅读量399 收藏
点赞数
文章标签: 低版本mysql客户端连接高版本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30556403/article/details/113552007
版权
本文详细介绍了MySQL低版本(3.22.32之前)存在的远程访问漏洞,攻击者无需知道账户口令,仅需账户名即可尝试利用此漏洞进行连接。通过分析MySQL的口令验证机制,揭示了由于比较字符串长度时的疏忽导致的安全风险,并提供了测试程序和解决办法。
摘要由CSDN通过智能技术生成

◆ Mysql低版本存在的远程访问漏洞

时间:2006/7/19 6:01:14

作者:佚名

人气:83

◆ Mysql远程访问漏洞

一. 概述

MySQL是一个常用的小型数据库系统,国内有很多站点正在使用它作为web数据库。

在MySQL的口令验证机制里存在安全漏洞。它允许任何用户从有目标机器数据库访问权限

的机器上与该数据库进行连接。攻击者不必知道帐号的口令,而只需知道一个可用的帐号

名即可。

所有低于Mysql 3.22.32的版本可能都是有问题的。

二. 细节

MySQL的口令认证的机制是这样的:当一个客户端发送一个连接请求的时候,服务端会首

先产生一个随机字符串(A),将这个字符串发送给客户端,客户端会用这个字符串和用户

输入的口令所产生的Hash值(B)生成一个新的字符串(C)。 并将这个新的字符串返回给服

务端。服务端将原先的随机字符串(A)与数据库中保存的口令Hash值(B')再生成一个字符

串(C'),比较这两个字符串(C和C')的内容是否一致,如果一致就允许登录,否则就不允许

登录。

然而,当比较C和C'这两个字符串内容的时候,由于没有考虑比较字符串的长度,导致了

问题的产生。从sql/password.c中可以看到有问题的代码部分:

my_bool check_scramble(const char *scrambled, const char *message,

ulong *hash_pass, my_bool old_ver)

{

......

while (*scrambled)

{

if (*scrambled++ != (char) (*to++ ^ extra))

return 1; ?* Wrong password */

}

return 0;

}

......

这里的scrambled就是客户端提供的字符串C,(*to++ ^ extra))就是服务端生成的字符串

C'(中的一个字符).我们可以看到,比较的次数决定于客户端提供的字符串C的长度。问

题就出在这里了,本来服务端应当首先判断这两个字符串长度是否相等的,但是它没有,

所以如果客户端提供的字符串只有一个字符,那么check_scramble()将只比较C和C'的第

一个字节。

C'的内容是随机产生的,所以第一次登录和第二次登录时,C'的第一个字符通常是不同的。

例如:

@SQOGRFA 第一次

VV]KPIU_ 第二次

M[PPRYX^ 第三次

但是,根据分析,C'的每一个字符

最低0.47元/天 解锁文章
PaperBager
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ubuntu下mysql版本升级到5.7
09-09
在Ubuntu系统中,将MySQL版本升级到5.7是一个重要的操作,特别是在面临安全漏洞的情况下。以下是一步步详细指导如何在Ubuntu 14.04上完成这个过程。 首先,确保你的系统是最新状态,通过运行以下命令来更新现有的包...
mysql 低版本驱动连接8.0数据库 版本兼容
shizhk_boke
03-22 4108
1、低版本驱动一般是下面这种写法: com.mysql.jdbc.Driver 为了使用5.0的驱动连接8.0数据库必须使用下面的连接方法: org.gjt.mm.mysql.Driver
低版本mysql客户端连接版本_MYSQL版本升级到后5.0后无法连接的有关问题_mysql...
weixin_34837898的博客
01-30 838
最近使用的机器要迁入机房,但是安全扫描时数据库版本太低了(4.0+)必须升级数据库。于是升级到了mysql5.6版本,升级完毕,数据迁移完毕后却发现程序怎么也连不上了,对比了密码和配置文件都没有错,后来上网查询才知道是mysql5.0以后的版本密码加密方式和以前版本不一样,要使用原来的加密方式,必须使用OLD_PASSWORD函数设置密码。后面为转载的解决方案,我的解决办法和这个大同小异。错误My...
同一台电脑安装两个不同版本(5.5到8.0)mysql
zyecust的博客
08-26 861
由于项目需求,使用8.0以上版本mysql,但本人电脑只有5.5的,因此为了以后对5.5需要的项目进行维护,所以安装两个版本mysql。 注意:因为两个mysql,所以一定要改变端口号(默认为3306) 1.下载 2.解压 将下载好的压缩包解压到D:\SMyoft\Mysql8.0 路径自定义,但是路径中尽量不要带空格或中文。 配置环境变量 在Path下添加 D:\SMyoft\Mysql8.0\mysql-8.0.17-winx64\bin 这一步的目的是为了避免在CMD窗口下操作时反复切换路径,也
MySql数据库版本不同,需要不同的连接驱动写法
hkl_Forever的博客
11-30 2381
mysql5.x版本和8.x版本驱动版本不对应会导致报错:Could not create connection to database server。
低版本mysql客户端连接版本_mysql客户端版本太低的问题,应该是先改变加密方式再修改密码.client does not support authentication protocol req...
weixin_29144347的博客
01-19 340
转载自:https://blog.csdn.net/XDMFC/article/details/80263215好不容易安装好mysql,但又出现了mysql客户端版本太低的问题。根据参考的这篇博客,完美的解决了该问题。看看这个链接:https://www.cnblogs.com/shiysin/p/shiysin.html 停!刚刚我看错了,应该是先改变加密方式再修改密码。 但是我在改变加密方式...
mysql5.5安装包windows版本
09-08
安装MySQL客户端工具,如MySQL Command Line Client或MySQL Workbench,以进行数据库的创建、查询、更新和删除等操作。 7. **注意事项**: - 定期备份数据,以防数据丢失。 - 关注安全,定期更新MySQL以修补可能...
MySQL安装包,8.0.3版本,x64 可直接解压安装
最新发布
08-16
- 安全性方面,应定期更新MySQL到最新版本以修复潜在的安全漏洞,并遵循最小权限原则,为每个用户分配特定的访问权限。 5. **性能优化**: - 通过创建索引来加速查询,尤其是在经常用于搜索的列上。 - 使用...
MySQL-5.6.36稳定版本
11-23
3. 安全性增强:如描述所述,5.6.36修复了17年一季度的远程漏洞,这些漏洞可能允许未经授权的用户访问或操纵数据库。通过安全更新,用户可以更好地保护他们的数据库免受潜在攻击。 4. 查询优化器改进:MySQL 5.6...
服务器mysql远程配置
02-05
MySQL是世界上最受欢迎的关系型数据库管理...总的来说,配置MySQL远程访问需要综合考虑网络、安全和数据库管理多个方面,确保既能满足远程操作需求,又能保持系统安全。希望这些信息能帮助你成功配置你的MySQL服务器。
mysql set skip_MySQL skip-character-set-client-handshake导致的一个字符集问题
weixin_39785165的博客
01-19 148
今天帮同事处理一个棘手的事情,问题是这样的:无论在客户机用哪个版本mysql客户端连接服务器,发现只要服务器端设置了character-set-server = utf8之后,character_set_client、 character_set_connection、character_set_results就始终都是和服务器端保持一致了,即便在mysql客户端加上选项--default-ch...
mysql低版本导入版本_MySQL低版本数据传入版本报错的解决办法
weixin_36088083的博客
01-19 1887
最近处理了一个非常棘手的老程序,并发,但是偏偏又是采用的MySQL5.0,并发数一就会无法链接,本地链接返回报错“too much connections”。我本身php和SQL语言都不算精通,所以无法从程序上解决这个问题,不过在摸索的过程中意外的了解到了如何把低版本MySQL数据传入版本MySQL中。说在最前面的是,MySQL最快的数据导入方式是复制MySQL的Data文件夹,除了my...
低版本mysql数据导入版本_将版本mysql数据库的数据导入低版本mysql
weixin_39791653的博客
02-05 2763
前言最近做了个网站,准备放到虚拟主机上的时候,发现本地数据库mysql5.6,服务器上的mysql是5.0的。于是尝试导出数据,结果,导入的数据不是出错,就是各种乱码。折腾了好久之后,终于找到了解决之道,特来水一贴,分享一发。建议是在数据迁移的时候版本差距别太大,有可能会出现版本兼容问题。 方法之前用的是phpmyadmin导出的,即使设置了mysql导出兼容低版本,还是有问题。后来,想到了电脑...
解决版本MYSQL低版本NAVICAT连接问题
qq_52983535的博客
11-01 485
解决版本MYSQL低版本NAVICAT连接问题
MySQL驱动版本_数据库连接驱动版本问题
weixin_42364852的博客
01-30 1164
在进行mysql数据库连接的过程中,如果因mysql驱动版本,在进行操作 的时候出现以下问题.可以降低数据库驱动版本来进行处理解决。2019-02-26 14:35:19.254 INFO 668 --- [ main] c.e.s.SpringbootMybatisSqlyogApplication : Started SpringbootMybatisSqlyogA...
版本JDBC驱动连接mysql数据库失败
一木之禾的博客
03-31 1618
版本JDBC驱动连接mysql数据库问题 问题描述(如图) tip:实质错误就是上面这个,因为本人是运行在jsp中,在运行时错误信息第一句是在连接数据库时(DriverManager.getConnection(url, name, password); ) 如果你出现了这个位置报错的情况,可以考虑是该贴所描述的问题(错误信息如图)。 前提: 已经安装好jdbc5.5以上版本(5.5版...
mysql低版本连接驱动
m0_51172271的博客
05-08 741
public class NoticeDaoImpl implements NoticeDao { @Override public List<Notice> show(int pagenow) { // TODO Auto-generated method stub Connection conn=null; PreparedStatement ps=null; ResultSet rs=null; ...
MySQL版本下载链接及特点汇总
本文档提供了一系列 MySQL 的不同版本下载链接,包括 MySQL 5.5、MySQL 5.6、MySQL 5.7 和 MySQL 8。MySQL 以其轻量级、效性和成本效益而广受欢迎,特别适合中小型网站的数据库需求。 MySQL 5.5 是较早的一个稳定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值