mySQL

Question

में किसी उपयोगकर्ता खाते को इंजेक्शन देना यहां एक अजीब परिदृश्य को झुकाएं।

हम एक मालिकाना वर्कस्टेशन प्रबंधन अनुप्रयोग का उपयोग करते हैं जो अपने डेटा को स्टोर करने के लिए mySQL का उपयोग करता है। आवेदन के भीतर वे रिपोर्ट की संख्या प्रदान करते हैं, जैसे उपयोगकर्ता किस मशीन में लॉग ऑन करता है, निगरानी मशीनों पर स्थापित सभी सॉफ्टवेयर उत्पाद, इतने पर और आगे। हम रिपोर्ट के एक अलग सेट को देखना चाहते हैं, हालांकि, वे कस्टम रिपोर्ट का समर्थन नहीं करते हैं।

चूंकि उनका डेटा mySQL में संग्रहीत किया जा रहा है, इसलिए मैं इकट्ठा करता हूं कि मैं मैन्युअल रूप से रिपोर्टिंग कर सकता हूं। हालांकि मेरे पास MySQL सर्वर से कनेक्ट करने के लिए वैध प्रमाण-पत्र नहीं हैं। क्या मेरे लिए mySQL सर्वर में उपयोगकर्ता खाता बनाने के लिए वैसे भी है? मैं रूट पासवर्ड या किसी भी खाते में रीसेट करना नहीं चाहता जो वहां हो सकता है, क्योंकि यह एप्लिकेशन को तोड़ सकता है।

---

मेरे पास विंडोज 2003 सर्वर तक पूर्ण पहुंच है। मैं mySQL सर्वर सहित सेवाओं को रोक और पुनरारंभ कर सकता हूं। वास्तविक mySQL सर्वर के लिए, मेरे पास सॉफ्टवेयर द्वारा प्रदान की गई GUI के माध्यम से केवल मूल पहुंच है। मैं सीधे सीएलआई या किसी अन्य उपकरण के माध्यम से (क्रेडेंशियल्स की कमी के कारण) से कनेक्ट नहीं कर सकता।

---

मैं माफी माँगता हूँ अगर यह बंद आया के रूप में अगर मैं MySQL सर्वर के लिए अनधिकृत पहुँच प्राप्त करने के लिए कोशिश कर रहा हूँ। मैंने सॉफ्टवेयर कंपनी से संपर्क किया है, और आज के रूप में यह उनसे प्रतिक्रिया के बिना दो सप्ताह हो गया है। मुझे डेटा प्राप्त करने की आवश्यकता है। मेरे पास भौतिक बॉक्स तक पूर्ण पहुंच है, मेरे पास व्यवस्थापकीय विशेषाधिकार हैं।

Answer 1

आप MySQL पासवर्ड रिकवरी प्रक्रिया का उपयोग करना चाहेंगे। these instructions का पालन करें, पासवर्ड रीसेट क्वेरी को add a new user पर क्वेरी के साथ प्रतिस्थापित करें। नया उपयोगकर्ता क्वेरी होगा कुछ की तरह:

GRANT ALL ON *.* TO 'myuser'@'localhost' IDENTIFIED BY 'mypassword' WITH GRANT OPTION; 

वह पासवर्ड "mypassword", जो स्थानीय सिस्टम के CLI के माध्यम से MySQL में लॉग इन कर सकते हैं के साथ एक नया उपयोगकर्ता "MyUser" पैदा करेगा। फिर आप MySQL व्यवस्थापक GUI (download here) का उपयोग कर सकते हैं और उपयोगकर्ता अनुमतियां अपडेट कर सकते हैं ताकि आप नेटवर्क पर अन्य सिस्टम से लॉग इन कर सकें। या सीएलआई से GRANT statement का उपयोग करें, यदि यह आपकी शैली है।

Answer 2

क्या आपके पास प्रश्न में MySQL सर्वर तक पहुंच है?

जैसा कि, नियमित उपयोगकर्ता के अतिरिक्त आपके पास क्या पहुंच है? इससे पहले कि आप वहां अपने रास्ते को "हैक" करने से पहले उन मार्गों से गुजरने का प्रयास करें, क्योंकि उस सॉफ़्टवेयर के साथ संभव हो सकता है या नहीं।

Answer 3

मुझे लगता है कि मुझे वास्तव में इसका उत्तर नहीं देना चाहिए, लेकिन यह बहुत मजेदार है।

एसक्यूएल इंजेक्शन के बारे में This पृष्ठ पर देखें। इसमें आपकी जरूरतों को पूरा करना चाहिए। This पेज mySQL

लिए उपयोगकर्ता खातों को जोड़ने के लिए कैसे मैं में प्रवेश करने की कोशिश करेगा यादृच्छिक उपयोगकर्ता इनपुट क्षेत्र में निम्न दिखाता है:

p'; INSERT INTO user VALUES 

('स्थानीय होस्ट', 'myNewAdmin', पासवर्ड ('some_pass'), 'वाई', 'वाई', 'वाई', 'वाई', 'वाई', 'वाई', 'वाई', 'वाई', 'वाई', 'वाई', 'वाई', 'वाई', ' Y Y');

और फिर

p'; FLUSH PRIVILEGES; 

पी '; नियमित प्रश्न बंद करने का इरादा है। उदाहरण के लिए: - सामान्य सवाल यह है:

"Select Adress from cusomers where custName = ' + $INPUT + '; 

Select Adress from cusomers where custName = 'p'; INSERT INTO user 
VALUES('localhost','myNewAdmin',PASSWORD('some_pass'), 
'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y'); 

Answer 4

एक बात यह है कि मन में आता है डेटाबेस संचार सूँघने और आशा है कि यह एन्क्रिप्टेड नहीं कर रहा है हो जाता है। अगर यह एन्क्रिप्ट किया गया है तो कॉन्फ़िगरेशन को बदलने का प्रयास करें एसएसएल का उपयोग न करें और mysql को पुनरारंभ करें।

MySQL का समर्थन करता है सुरक्षित (एन्क्रिप्टेड) ​​MySQL ग्राहकों और सर्वर सुरक्षित सॉकेट लेयर (SSL) प्रोटोकॉल का उपयोग कर के बीच कनेक्शन: एक अच्छा स्निफर है कि मैं का उपयोग Wireshark

mysql 5.0 documentation से है। यह अनुभाग चर्चा करता है कि SSL कनेक्शन का उपयोग कैसे करें। यह विंडोज़ पर एसएसएच सेट करने का एक तरीका भी बताता है। पर उपयोगकर्ताओं के लिए एसएसएल कनेक्शन का उपयोग करने की आवश्यकता है, अनुभाग 12.5.1.3, "अनुदान सिंटेक्स" में अनुदान विवरण के खंड की आवश्यकता देखें।

MySQL के मानक विन्यास यथासंभव शीघ्र करने का इरादा है, इसलिए एन्क्रिप्टेड कनेक्शन डिफ़ॉल्ट रूप से उपयोग नहीं कर रहे हैं। ऐसा करने से क्लाइंट/सर्वर प्रोटोकॉल बहुत धीमा हो जाएगा। डेटा एन्क्रिप्ट करना एक सीपीयू-गहन ऑपरेशन है जिसके लिए अतिरिक्त काम करने के लिए कंप्यूटर की आवश्यकता होती है और अन्य MySQL कार्यों में देरी हो सकती है। अनुप्रयोगों के लिए जो एन्क्रिप्टेड कनेक्शन द्वारा प्रदान की गई सुरक्षा की आवश्यकता है, अतिरिक्त गणना की आवश्यकता है।

MySQL प्रति कनेक्शन आधार पर सक्षम करने की अनुमति देता है। आप व्यक्तिगत अनुप्रयोगों की आवश्यकताओं के अनुसार एक सामान्य अनएन्क्रिप्टेड कनेक्शन या एक सुरक्षित एन्क्रिप्टेड SSL कनेक्शन चुन सकते हैं।

सुरक्षित कनेक्शन ओपनएसएसएल एपीआई पर आधारित हैं और MySQL सी एपीआई के माध्यम से उपलब्ध हैं। प्रतिकृति सी एपीआई का उपयोग करती है, इसलिए सुरक्षित कनेक्शन मास्टर और गुलाम सर्वर के बीच उपयोग किया जा सकता है।

आपने शायद पहले ही ऐसा किया है लेकिन अभी भी - अनुप्रयोग कॉन्फ़िगरेशन फ़ाइलों के माध्यम से खोज करने का प्रयास करें। यदि कुछ भी नहीं है - निष्पादन योग्य/स्रोत कोड के माध्यम से खोज करने का प्रयास करें - यदि आप भाग्यशाली हैं तो शायद यह सादे पाठ में है।

Answer 5

बाधाएं डेटाबेस की तरफ एक ट्रिगर रखने पर ट्रिगर्स हैं, इसलिए जब आप डेटाबेस में स्वयं को हैक करते हैं तो उन्हें पता चलेगा कि आपने कब और कैसे किया। अच्छा विचार नहीं।