Si falta el esquema mysql, ¿dónde puedo encontrar las credenciales?

Navega tus respuestas
1

Después de encontrar una vulnerabilidad de inyección de SQL, necesito proporcionar más información sobre la base de datos. Mínimo, necesito proporcionar una lista de usuarios y contraseñas.

Identifiqué que es un MySQL pero revisando information_schema.schemata noté que solo hay dos bases de datos: information_schema y abc (la creada para el problema).

Falta

mysql , ¿de dónde puedo obtener la lista de usuarios y contraseñas? Como mysql.user no está disponible.

    
pregunta yzT 03.12.2014 - 13:39
fuente

1 respuesta

1

Como dijo DarkLighting en los comentarios, el esquema mysql siempre está disponible porque es parte de la instalación, al igual que el esquema de información.

Si un usuario no puede ver el DB de mysql, significa que no tiene privilegios. Probablemente él tiene el privilegio USO . Entonces, para poder obtener las credenciales de los usuarios, primero el atacante debe aprovechar una vulnerabilidad de escalada de privilegios para obtener acceso de root y, por lo tanto, obtener acceso a la base de datos mysql donde se almacenan las credenciales.

    
respondido por el yzT 05.12.2014 - 21:55
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo generar algunas claves públicas y privadas en ambos lados con gastos generales bajos? Fijación de sesión: configuración de ruta a raíz sin /