将用户帐户注入mySQL

时间:2008-09-19 21:09:32

标签: mysql account

在这里解决一个奇怪的场景。

我们使用专有的工作站管理应用程序,它使用mySQL来存储其数据。在应用程序中,它们提供了大量报告,例如哪些用户在哪个时间登录到哪台计算机,所有安装在受监控计算机上的软件产品,依此类推。我们希望执行一组不同的报告,但是,它们不支持自定义报告。

由于他们的数据存储在mySQL中,我收集我可以手动执行报告。我没有有效的凭据来连接到mySQL服务器。 反正对我来说,在MySQL服务器中创建用户帐户?我不想重新设置root的密码或任何账户,可能是在那里,因为它可能会破坏应用程序。

我可以完全访问Windows 2003服务器。我可以停止并重启服务,包括mySQL服务器。对于实际的mySQL服务器,我只能通过软件提供的GUI进行基本访问。我无法通过CLI或其他工具直接连接到它(由于缺少凭据)。

我道歉,好像我试图未经授权访问mySQL服务器。我已经联系了这家软件公司,截至今天已经有两周时间没有得到他们的回复。我需要了解数据。我可以完全访问物理盒,我有管理员权限。

5 个答案:

答案 0 :(得分:9)

您需要使用MySQL密码恢复过程。关注these instructions,但将密码重置查询替换为add a new user的查询。新用户查询类似于:

GRANT ALL ON *.* TO 'myuser'@'localhost' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;

这将创建一个新用户“myuser”,密码为“mypassword”,可以通过本地系统的CLI登录MySQL。然后,您可以使用MySQL Administrator GUI(download here)并更新用户权限,以便您可以从网络上的其他系统登录。或者使用CLI中的GRANT statement,如果这更符合您的风格。

答案 1 :(得分:0)

您是否可以访问相关的MySQL服务器?

同样,除了普通用户之外,您有什么访问权限?在你“破解”自己的方式之前,你应该尝试通过这些路线,因为使用该软件可能会或者可能不可行。

答案 2 :(得分:0)

我认为我真的不应该回答这个问题,但这太有趣了。

查看有关SQL注入的This页面。这应该涵盖你的需求。 This页面显示了如何将用户帐户添加到mySQL

我会尝试在随机用户输入字段中输入以下内容:

p'; INSERT INTO user VALUES

( '本地主机', 'myNewAdmin',PASSWORD( 'some_pass'), 'Y', 'Y', 'Y', 'Y', 'Y', 'Y', 'Y', 'Y', 'Y', 'Y', 'Y', 'Y','Y ”, 'Y');

然后

p'; FLUSH PRIVILEGES;

P';旨在结束常规问题。例如 - 一般问题是:

"Select Adress from cusomers where custName = ' + $INPUT + ';

成为

    Select Adress from cusomers where custName = 'p'; INSERT INTO user 
VALUES('localhost','myNewAdmin',PASSWORD('some_pass'), 
'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y');

答案 3 :(得分:0)

要记住的一件事是嗅探数据库通信并希望它没有加密。如果是加密的,请尝试更改配置,不要使用SSL并重新启动mysql。我使用的好嗅探器是Wireshark

来自mysql 5.0 documentation

  

MySQL支持安全(加密)   MySQL客户端和   服务器使用安全套接字   层(SSL)协议。这个部分   讨论了如何使用SSL连接。   它还描述了一种设置SSH的方法   在Windows上。有关如何使用的信息   要求用户使用SSL连接,   请参阅REQUIRE的讨论   GRANT声明中的条款   第12.5.1.3节“GRANT语法”。

     

MySQL的标准配置是   意图尽可能快,所以   加密连接不被使用   默认。这样做会使   客户端/服务器协议要慢得多。   加密数据是CPU密集型的   需要电脑的操作   做额外的工作,可以推迟   其他MySQL任务。适用于应用   需要提供的安全性   加密连接,额外的   计算是有保证的。

     

MySQL允许启用加密   在每个连接的基础上。您可以   选择正常的未加密连接   或安全的加密SSL连接   根据要求   个人申请。

     

安全连接基于   OpenSSL API,可通过   MySQL C API。复制使用   C API,所以安全连接可以   在主服务器和从服务器之间使用。

您可能已经这样做但仍然 - 尝试搜索应用程序配置文件。如果没有 - 尝试搜索可执行文件/源代码 - 如果你很幸运,可能是明文。

答案 4 :(得分:0)

数据库方面有一些触发器可以保留日志,所以当你自己进入数据库时​​,他们会知道你何时以及如何做到这一点。不是个好主意。

相关问题
最新问题