22.10.2007, 15:43
|
|
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
Провел на форуме:
3887520
Репутация:
2996
|
|
Тут не надо быть семи пядей во лбу, чтобы понять, что он получил имя и пароль не системной записи root! Это либо mysql-рут, либо от админки, потому что получен он был с помощью SQL-Injection. Я, конечно, понимаю что херовое настроение и всё такое... Но мог бы оставить свои коменты при себе.
От какой админки ты про что вообще какое отношение имеет, системный юзер к админке? Получить запись юзера рут, можно сделав запрос к mysql.user, а получить логин пасс рута самой системы можно прочитав shadow / master.passwd через лоад файл и расшифровать хеш, а как мы знаем доступ рута по ssh по умолчанию запрешен, да и делать это глупо так как можно воспользоваться su с другова юзера, а root от админки это звучит довольно забавно.
Да какой нахер 3306!!! Ну ты же вызывал user()! Ты видел там localhost??? Это значит что он не слушает внешние интерфейсы, снаружи ты к нему не приконнектишься.
Это означает что юзер конектиться к базе с локал хоста, и значит это только то что скрипт и база находяться на одной тачке, если бы было user@192.168.1.1 то это не значило бы, что доступ разрешен с этого ip это значит то база данных находиться на 192.168.1.1
Ну малаццы... А то - ssh, сплоиты на mysql......
Это и есть сплойт на mysql.
|
|
|