假设我有一台具有大量测试帐户的测试服务器。测试帐户具有未知密码,这些密码被硬编码到应用程序的报告中,并以加密方式存储在mysql.users表中。
是否有任何选项或黑客可以用来使mysql接受任何文本作为帐户的“正确”密码?例如:
Update mysql.user Set Password="*" where 1=1
注意:上面的行不起作用,因为它将字面意义上将密码设置为“ *”,而不是通配符。但是,我正在寻找一种创建mysql帐户的方式,该帐户可以接受任何有效密码。这台机器已断开与网络的连接,我可以完全访问mysql数据库...
并不真地。
你可以做什么:
SET PASSWORD FOR Piskvor='hunter2'; FLUSH PRIVILEGES;)--skip-grant-tables。这将允许任何连接的任何密码访问任何数据库。警告:这是一个主要的安全漏洞 - 任何用户都可以mysql在服务器使用此选项运行时修改数据库,包括用户和密码。(如果您拥有数据库的完全访问权限,但不会更改现有密码和/或无法修改服务器进程选项,我怀疑发生了一些可疑的事情)
| 归档时间: |
|
| 查看次数: |
3040 次 |
| 最近记录: |