攻击器怎么打mysql,如何应对攻击

mysql怎么打开啊?

1、 mysql安装好后，在mysql的安装目录中有个bin目录，里面有很多客户端软件，如果是mysql的客户端，找到mysql.exe，这个是用于操作数据库的系统客户端软件。

成都创新互联公司服务项目包括茫崖网站建设、茫崖网站制作、茫崖网页制作以及茫崖网络营销策划等。多年来，我们专注于互联网行业，利用自身积累的技术优势、行业经验、深度合作伙伴关系等，向广大中小型企业、政府机构等提供互联网行业的解决方案，茫崖网站推广取得了明显的社会效益与经济效益。目前，我们服务的客户以成都为中心已经辐射到茫崖省份的部分城市，未来相信会继续扩大服务区域并继续获得客户的支持与信任！

2、 客户端选择：一般情况下，我们在学习的时候会通过使用Windows下的控制台进行访问，即win + R 同时按住打开运行，输入cmd命令进入控制台，然后进入到mysql的bin目录（具体可以看一下Windows下控制器切换路径（百度经验））；或者在开发的时候通常会使用一些集成工具，如Navicat之类。

3、 数据库操作步骤：学习的时候客户端和服务端是同时安装的，都在一台电脑上，但是要理解，mysql的客户端和服务端通常不会在一台机器上的（服务器在机房，客户端就在个人电脑上），因此是需要进行一些步骤操作的。（下面以windows下的控制台为例）

① 连接认证：mysql/mysql.exe -h主机地址 -P端口 -u用户名 -p密码，其中h可以是ip地址也可以是主机名如-hlocalhost/-h127.0.0.1，本地可以省略；-P（大写P）是端口，一般mysql是3306，默认可以省略；-u是用户名，如果没有匿名账号，必填；-p（小写p）是密码，一般必填，最好是输入-p后先回车，后输入密码（密文输入密码，更安全）

② 发送SQL指令，SQL（【百科】结构化查询语言Structured Query Language结构化查询语言）是mysql能识别的操作指令，这块如果想深入学习理解可以参照MySQL的API文档或者参考黑马程序员下的6天玩转MySQL，一般情况下分为几大类：

DDL：Data Definition Language，数据定义语言，定义结构。如创建数据库：create database `test` charset utf8;

DML：Data Manipulation Language，数据操作语言，进行数据操作。如增删改查指令：insert into table values()/delete from table where condition/update table set key = value/select * from table

DCL：Data Controller Language，数据控制语言，进行权限管理。如给用户授权：grant seletet on *.* to 'root'@localhost

③ 解析：一般情况下客户端会自动解析MySQL服务器执行返回的结果不需要我们进行额外操作，但是如果是其他编程语言需要使用MySQL执行的结果，那么还需要额外的解析（参照黑马程序员6天玩转MySQL中的PHP操作mysql）

④ 断开连接：数据库用完之后，要养成主动断开的习惯（被动也可以，但是如果被动没有断开，那么就会“占线”），mysql的客户端可以使用\q | quit | exit，任意一个退出

如何利用弱口令入侵MySQL数据库

通过FTP弱口令入侵后台的方法

虽然通过刚才的步骤得到了存在FTP弱口令的主机,但并不表明它们都可以被入侵.因为他们的FTP服务器类型还没确定.可能是微软的TP.或者是WUFTP等等.

而入侵时所利用的漏洞是serv-u FTP的, 所以还必须对这些存在FTP弱口令的主机进行一下类型确认;

步骤1 将刚才扫描生成的ftpscan.txt进行过滤.全部留下IP.以每个IP一行的规则保存.

步骤2 打开superscan扫描器.勾选"显示主机响应",IP设置里选择"导入文件",然后选择保存好的ftpscan.txt,最后将扫描端口定义在21上.完成之后就要吧开始扫描了

步骤3:很快扫描完毕.详细显示了被扫描主机的FTP服务器类型.可以看出有台目标主机的FTP服务器类型为:serv-u FTP

二. 入侵指定目标.

通过刚才的扫描等一系列步骤.我已经确定了要下手的目标.

下面,开始使用serv-u MDTM溢出漏洞进行入侵.

步骤1:在命令行下运行serv-u MDTM溢出的利用程序killftp.察看到帮助文件

步骤2:按照提示.我们输入命令:killftp 218.109.2.222 21 ftp ftp. 即对一台IP为218.109.2.222,帐号为FTP.密码为FTP的主机进行攻击,

可以看出,提示成功之后连接8111端口

步骤3:按照成功提示.我们利用NC端口程序连接目标主机的8111端口,输入连接命令:  nc -vv 218.109.2.222 8111 很快就可以得到一个新的

DOS窗口.而且这个窗口还是管理员权限的.就这么简单

如何对一个网站进行SQL注入攻击

1.POST注入，通用防注入一般限制get，但是有时候不限制post或者限制的很少，这时候你就可以试下post注入，比如登录框、搜索框、投票框这

类的。另外，在asp中post已被发扬光大，程序员喜欢用receive来接受数据，这就造成了很多时候get传递的参数通过post/cookie也

能传递，这时如果恰好防注入程序只限制了get，因此post注入不解释

2.cookie注入，原理同post注入，绕过相当多通用防注入

3.二次注入，第一次注入的数据可能不会有效，但是如果将来能在某个页面里面被程序处理呢?注入来了……

4.csrf，适合后台地址已知并且存在已知0day，可以试试用csrf劫持管理员来进行操作（这招其实不属于sql注入了）

5.打碎关键字，比如过滤select，我可以用sel/**/ect来绕过，这招多见于mysql

6.有时候也可以sELeCT这样大小写混淆绕过

7.用chr对sql语句编码进行绕过

8.如果等于号不好使，可以试试大于号或者小于号，如果and不好使可以试试or，这样等价替换

9.多来几个关键字确定是什么防注入程序，直接猜测源码或者根据报错关键字（如"非法操作，ip地址已被记录"）把源码搞下来研究

10.记录注入者ip和语句并写入文件或数据库，然而数据库恰好是asp的，插马秒杀