零距离感受入侵服务器

　(3)数据库密码空的严重漏洞：

　　从X-SCAN扫描结果中唯一的严重漏洞我们可以看到该服务器上数据库密码是空的，由于扫描结果显示目的服务器上采用的数据库是MYSQL，因此我们知道默认的管理员帐户信息是root，而密码是空，这是一个致命的漏洞，我们可以完善我们的整个入侵操作了。这里笔者推荐给各位IT168读者一个小工具——MySQL GUI Tools，他是一个可视化界面的MySQL数据库管理控制台，提供了四个非常好用的图形化应用程序，方便数据库管理和数据查询。这些图形化管理工具可以大大提高数据库管理、备份、迁移和查询效率，即使没有丰富的SQL语言基础的用户也可以应用自如。它们分别是MySQL Migration Toolkit数据库迁移，MySQL Administrator管理器，MySQL Query Browser用于数据查询的图形化客户端，MySQL Workbench(DB Design工具)。

　　第一步：我们使用mysql远程连接工具，启动程序后输入目的服务器IP地址以及username是root，密码保持空，然后点OK进行连接，端口号是默认的3306，这个端口可以由X-SCAN扫描结果文件中分析得来。(如图10)

图10

　　第二步：之后我们就能够顺利的连接到目标服务器上了，在MYSQL远程连接控制器中我们可以看到目标HOSTNAME是目的IP地址，服务器运行information情况是mysql 5.0.27。(如图11)

上一页  [1] [2] [3] [4] 下一页