WinMySQLadmin 1.1 以明文形式存放 Mysql 密码漏洞 文章来源: 涉及程序: WinMySQLadmin 详细: WinMySQLadmin 是一个 Mysql 管理软件,发现它以明文形式存放 Mysql 密码于 c:\winnt\my.ini 文件中。
---<my.ini>--- #This File was made using the WinMySQLadmin 1.1 Tool
[mysqld] basedir=C:/mysql datadir=C:/mysql/data
[WinMySQLadmin] Server=C:/mysql/bin/mysqld-nt.exe user=admin password=XXXXX (in clear text) QueryInterval=30 ---<my.ini>---
利用此漏洞,如果远程攻击者能遍历受影响系统,将可能取得数据库管理员权限。如: http://packetstormsecurity.org/9905-exploits/ms.iis4.showcode.txt