昨日就已经在写这个文章了,结果忘记保存(当时在网站后台上写的,现在在windows live write 上写),晚上又没时间写,只能拖到今天完成,好废话不多了 开始行动了
----------------------重要内容----------------------------------------------
环境
1.Windows xp sp2
2.WampServer 集成环境
3. phpMyAdmin - 2.11.6
环境就是如此了
首先进入 phpmyadmin 由于我是集成环境 root的密码为空 所以打开就直接登录进去了,接着我们会在首页的下方看到 权限这个栏
然后点击进入 我们就会看到一个root 用户 接着我们点击 添加新用户 开始加用户了
接着我们都来到了添加用户的界面了
首先我们输入一个用户名,然后主机⑵这行 设置成本地 ,然后点击⑴,会在⑷那里生成一个密码,然后复制黏贴到⑶处,有的朋友要问为什么这样做呢,就是防止有的数据库密码被人社工出来,这样生成的话,自己都不会记得,也就不会有被社工的危险,接着往下看 下面的自己找个软件翻一下吧, 这里我不理会他,大家有兴趣可以试验下效果,接着上另外一张图
接着看到的就是这个图了,这个就是关键的地方了,首先我们看下具体有哪些全局权限,首先 有select,update ,create,execute 这个几个关键权限,这里已经说了是全局权限了,那么他的意思就是说,可以控制其他库的权限哦,我们要的就是只能控制一个特定的库,那么我们无视他他的存在,一个勾的不要勾,直接点执行,然后会看到下图依旧是 全局设置我们还是无视他~
然后呢往下来会看到
接着我们选择一个已经存在的数据库(这个库可以用root用户创建,记得把你的root用户密码设置的复杂点,不要让别人社工了),我这里选择的是discuz,我们就会看到
这里就红框处全部选择吧,接着执行,然后我们开始测试了,
首先我们看看dz能正确安装吗?
在游览器里输入 127.0.0.1/dz7/install
使用刚才创建的用户 ,然后点下一步,已经正确安装(刚才忘记保存密码了,然后手写截图上的密码的,看错一个地方HKcCMEFeeJNVexaQ,应该是大写的m),接着用一个webshell测试下,经典的phpshell 就是c99了哦 ,放到网站目录下,接着访问http://127.0.0.1/dz7/c99.php 然后我们点击sql我们填写上我们刚才创建的用户名和密码(user,HKcCMEFeeJNVexaQ) 数据库为 discuz ,点击connect,接着我们就看到了所有的表
接着我们尝试下,连接其他库看看 如mysql 这个系统自带的库
这个库不行,其他库也是一样的效果,我就不发图尝试了,已经发了10张图了,我在想51cto一篇文章能带几张图一次性,这样足以说明,这个用户已经受到限制了不能跨库了,其他用户的库基本是安全的.还有些其他内容还要我们一起发现,这个是前天群里的朋友说的我才想到记录下来以后可能会用得到,谢谢各位能看完的我文章~
