本文主要是介绍渗透前戏:Sparta简介,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Sparta斯巴达是一款小软件,可以方便的进行扫描和爆破。先拿自己的小破网站做个实验,输入网站的IP地址,然后点击Add to scope,默认是勾选了Run nmap host discovery(主机发现功能)和Run staged nmap scan (Nmap阶段扫描),然后就跑起来了。
喝一杯咖啡,运行结果如下图所示:
我们发现3306数据库端口开放了,那么可以尝试爆破一下数据库密码?当然,我的密码设置的非常非常非常复杂,普通的密码本是无法爆破出来的。
我们发现报错信息是这么写的:
ERROR] Host '36.33.37.246' is not allowed to connect to this MySQL server
我想知道到底是密码错误导致的,还是远程无法访问导致的?因为有些MySQL数据库设置了只允许服务端IP地址访问。于是我写了一个小程序来测试一下。
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <mysql.h>
int main() { MYSQL *conn;conn = mysql_init(NULL); if (!conn) { printf("mysql_init failed\n"); return EXIT_FAILURE; } conn = mysql_real_connect(conn,"104.244.88.156", "root", "hackbiji.top2018", "myzoo", 3306, NULL, 0); if (conn) { printf("Connection success\n"); mysql_close(conn);printf("Connection closed!\n");} else { printf("Connection failed\n"); } return EXIT_SUCCESS;
}
即使用户名密码ok,也连接失败,嗷...
Centos安装MYSQL-DEV开发包:
yum install mysql-devel
Ubuntu安装MYSQL-DEV开发包:
apt-get install libmysqld-dev
很遗憾的是,我把上面的代码搬到MYSQL所在的服务器上运行,依然连接失败。
在服务器上,把IP地址改成localhost,端口无所谓,都能成功连接数据库。
那么,实际上爆破数据库密码是行不通滴,因为你的爆破程序必须跑在服务器上。
除非?
嘿嘿嘿嘿。
这篇关于渗透前戏:Sparta简介的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
