MySQL Accepter n'importe quel mot de passe

Question

Supposons que j'ai un serveur de test avec un grand groupe de comptes de test. Les comptes de test ont des mots de passe inconnus qui sont codés en dur dans les rapports de l'application et sont stockés cryptés dans la table mysql.users.

Existe-t-il une option ou un hack qui peut être utilisé pour que mysql accepte tout texte comme mot de passe "correct" pour un compte? Par exemple:

Update mysql.user Set Password="*" where 1=1 

Note: La ligne ci-dessus ne fonctionnerait pas car il serait littéralement mis le mot de passe « * » et non pas le caractère générique. Cependant, je cherche un moyen de créer un compte mysql qui accepterait n'importe quoi comme un mot de passe valide. Cette machine est déconnectée du réseau et j'ai un accès complet à la base de données mysql ...

Answer 1

Pas vraiment.

Qu'est-ce que vous pouvez faire:

• change the password à un nouveau (SET PASSWORD FOR Piskvor='hunter2'; FLUSH PRIVILEGES;)
• restart the MySQL server avec l'option --skip-grant-tables. Cela permettra n'importe quel mot de passe, pour n'importe quelle connexion, avec l'accès à n'importe quelle base de données. Avertissement: il s'agit d'un trou de sécurité majeur - tout utilisateur peut modifier la base de données mysql, y compris les utilisateurs et les mots de passe pendant que le serveur fonctionne avec cette option.

(si vous aviez accès à la base de données, mais ne serait pas changer les mots de passe existants et/ou ne pouvait pas modifier les options serveur processus, je soupçonne que quelque chose de louche se passait)

Answer 2

Je ne pense pas qu'il y ait un tel hack. Cependant, si le mot de passe est codé en dur quelque part, il devrait être facile de les extraire et de générer un script. Sauf bien sûr si le format où le mot de passe est stocké n'est pas lisible.