mysql-proxy를 사용하여 로그인 정보를 조작하십시오.

Question

mysql-proxy의 lua 스크립트에서 로그인 정보를 가로 채고 변경할 수 있습니까?

사용자가이 같은 프록시를 공격한다면, 예를 들어 :

mysql -h localhost -P 4040 -u bob -D orders -p 

내가 연결되도록 만 백엔드 서버로 리디렉션뿐만 아니라 사용자 이름/데이터베이스 이름이 변경되지 원하는 것 위의 명령이 동등한이었다

mysql -h production.server -P 3306 -u bob_production -D bob_orders -p 

나는 인증이 통과 된 후 난 단지 스크립트의 인증 정보를 얻을 수 있고, 내가 전에 그것을 얻을 수있는 경우에도, 내가하지 않는 것 같다 통지 쉽게 주입 할 수있는 방법을보십시오.

누구나 mysql-proxy 또는 다른 솔루션에서 어떻게 가능할 지 아이디어가 있습니까?

Answer 1

가능합니다. 설치 번들의 share/docs 디렉토리에서 원격 클라이언트의 해시 된 암호를 검증하고 서버에 필요한 인증 자격 증명을 대체하는 예제 인 자습서 스크립트 tutorial-scramble.lua를 살펴보십시오.

자습서 예에서 사용 된 기능은 다음과 같습니다 read_auth() 또한 (read_auth_result 함께 할 수있는 서버에서 인증 응답을 모니터링 할 수 있습니다

).