3月11
非常老的漏洞了,在此再贴一遍:
漏洞涉及程序: WinMySQLadmin <=1.4
详细:
WinMySQLadmin 是一个 Mysql 管理软件,发现它以明文形式存放 Mysql 密码于 c:\windows\my.ini 文件中。
---<my.ini内容开始>---
#This File was made using the WinMySQLAdmin 1.4 Tool
#2006-12-26 10:10:50
#Uncomment or Add only the keys that you know how works.
#Read the MySQL Manual for instructions
[mysqld]
basedir=C:/mysql
#bind-address=219.139.240.205
datadir=C:/mysql/data
#language=C:/mysql/share/your language directory
#slow query log#=
#tmpdir#=
#port=3306
#set-variable=key_buffer=16M
[WinMySQLadmin]
Server=C:/mysql/bin/mysqld-nt.exe
user=root
password=mysql
QueryInterval=10
---<my.ini内容结束>---
利用此漏洞,如果远程攻击者能遍历受影响系统,将可能取得数据库管理员权限。
Ps:功能和谐而又强大的OA系统(XXX每天是开着车车来上班的,嘘…………!据说该OA是出自他的手中),居然是这样的。
此时此刻,我真有种想去撞墙的冲动...
本想把他的首页给换了的,想一想还是算了,多一事不如少一事。
