基本2.x.x 版本,空密碼也能登入phpmyadmin ,'localhost'@'@''
查了下,基於mysql 資料庫許可權的漏洞造成
缺省會有乙個user 為』』 空的帳號
''@localhost
mysql -u'' -p 直接能進資料庫,把這個帳號刪除就ok了 ,drop user ''@localhost
或者公升級高版本的phpmyadmin 。3.x 版本就沒有的
雖然這個許可權不大,但是可以透過他上傳木馬。
網上有些人說
」 其實是類似--user=mysql --skip-grant-tables --skip-networking這樣的啟動方式,導致輸入什麼賬戶和密碼都可以登入吧。 「
其實是錯誤的,這玩樣是啟動指令碼mysald_safe 的引數,跟這個漏洞沒一點關係。 這個漏洞的觸發完全是因為 mysql預設有乙個空使用者名稱和口令的帳號,''@localhost
但是這個帳號許可權比較小,只有usage ,也不能用outfile 語句匯出處檔案生產木馬。
萬能密碼 php,PHP萬能密碼
說實話如果乙個 的前台都是注入漏洞,那麼憑經驗,萬能密碼進後台的機率基本上是百分之百。可是有的人說對php的站如果是gpc魔術轉換開啟,就會對特殊符號轉義,就徹底杜絕了php注入。其實說這話的人沒有好好想過,更沒有嘗試過用萬能密碼進php的後台。其實gpc魔術轉換是否開啟對用萬能密碼進後台一點影響也...
asp aspx php jsp萬能密碼
asp aspx萬能密碼 1 or a a 2 or a a 3 or 1 1 4 or 1 1 5 a or 1 1 6 or 1 1 7 or a a 8 or a a 9 or 10 or or 11 1 or 1 1 1 12 1 or 1 1 or 1 1 13 or 1 1 00 14 ...
PARADOX DB 萬能密碼
paradox資料庫的萬能密碼 如果是paradox,請用此萬能密碼 jiggae 還有 nx66ppx 注意大小寫 version password paradox 7 jiggae or cupcdvum paradox 5 jiggae or cupcdvum paradox 4 nx66pp...