渗透前戏:Sparta简介

斯巴达是一款小软件,可以方便的进行扫描和爆破 。先拿自己的小破网站做个实验,输入网站的IP地址,然后点击Add to scope,默认是勾选了Run nmap host (主机发现功能)和Runnmap scan (Nmap阶段扫描),然后就跑起来了 。
【渗透前戏:Sparta简介】喝一杯咖啡,运行结果如下图所示:
我们发现3306数据库端口开放了,那么可以尝试爆破一下数据库密码?当然,我的密码设置的非常非常非常复杂,普通的密码本是无法爆破出来的 。
我们发现报错信息是这么写的:
ERROR] Host '36.33.37.246' is nottoto this MySQL
我想知道到底是密码错误导致的,还是远程无法访问导致的?因为有些MySQL数据库设置了只允许服务端IP地址访问 。于是我写了一个小程序来测试一下 。
#include#include#include #include int main() {MYSQL *conn;conn= mysql_init(NULL);if (!conn) {printf("mysql_init failed\n");return EXIT_FAILURE;}conn = mysql_real_connect(conn,"104.244.88.156", "root", "hackbiji.top2018", "myzoo", 3306, NULL, 0);if (conn) {printf("Connection success\n");mysql_close(conn);printf("Connection closed!\n");} else {printf("Connection failed\n");} return EXIT_SUCCESS;}
即使用户名密码ok,也连接失败,嗷...
安装MYSQL-DEV开发包:
yummysql-devel
安装MYSQL-DEV开发包:
apt-get-dev
很遗憾的是,我把上面的代码搬到MYSQL所在的服务器上运行,依然连接失败 。
在服务器上,把IP地址改成,端口无所谓,都能成功连接数据库 。
那么,实际上爆破数据库密码是行不通滴,因为你的爆破程序必须跑在服务器上 。
除非?
嘿嘿嘿嘿 。