转自 http://hi.baidu.com/davice_li/blog/item/5f5b470be3307e32b0351db5.html

用户密码跟其它数据库用户密码一样，在应用系统代码中都是以明文出现的，在获取文件读取权限后即可直接从数据库连接文件中读取，例如asp代码中的conn.asp数据库连接文件，在该文件中一般都包含有数据库类型，物理位置，用户名和密码等信息；而在MYSQL中即使获取了某一个用户的数据库用户（root用户除外）的密码，也仅仅只能操作某一个用户的数据库中的数据。

在实际攻防过程中，在获取Webshell的情况下，是可以直下载MYSQL数据库中保留用户的user.MYD文件，该文件中保存的是MYSQL数据库中所有用户对应的数据库密码，只要能够破解这些密码那么就可以正大光明的操作这些数据，虽然网上有很多修改MYSQL数据库用户密码的方法，却不可取，因为修改用户密码的事情很容易被人发现！

研究MYSQL数据库的加解密方式，在网络攻防过程中具有重要的意义；试想一旦获取了网站一定的权限后，如果能够获取MYSQL中保存用户数据，通过解密后，即可通过正常途径来访问数据库；一方面可以直接操作数据库中的数据，另一方面可以用来提升权限。通过在网络上查找资料，目前关于破解MYSQL方面的研究不多，本文算是抛砖引玉，虽然效果不是特别好，但也算是对破解MYSQL数据库用户密码的一种探讨和尝试。

（一）MYSQL加密方式

MYSQL数据库的认证密码有两种方式，MYSQL 4.1版本之前是MYSQL323加密，MYSQL 4.1和之后的版本都是MYSQLSHA1加密，MYSQL数据库中自带Old_Password（str）和Password（str）函数,它们均可以在MYSQL数据库里进行查询，前者是MYSQL323加密，后者是MYSQLSHA1方式加密。

（1）以MYSQL323方式加密

SELECT Old_Password('bbs.antian365.com');

查询结果MYSQL323 = 10c886615b135b38

（2）以MYSQLSHA1方式加密

SELECT Password('bbs.antian365.com');

查询结果MYSQLSHA1 = *A2EBAE36132928537ADA8E6D1F7C5C5886713CC2   执行结果如图1所示，MYSQL323加密中生成的是16位字符串，而在MYSQLSHA1中生存的是41位字符串，其中*是不加入实际的密码运算中，通过观察在很多用户中都携带了“*”，在实际破解过程中去掉“*”，也就是说MYSQLSHA1加密的密码的实际位数是40位。

（二）MYSQL数据库文件结构

1.MYSQL数据库文件类型

MYSQL数据库文件共有“frm”、“MYD”“和MYI”三种文件，“.frm”是描述表结构的文件，

“.MYD”是表的数据文件，“.MYI”是表数据文件中任何索引的数据树。一般是单独存在一个文件夹中，默认是在路径“C:\Program Files\MYSQL\MYSQL Server 5.0\data”下。

2.MYSQL数据库用户密码文件

在MYSQL数据库中所有设置默认都保存在“C:\Program Files\MYSQL\MYSQL Server 5.0\data\MYSQL”中，也就是安装程序的data目录下，如图2所示，有关用户一共有三个文件即user.frm、user.MYD和user.MYI，MYSQL数据库用户密码都保存在user.MYD文件中，包括root用户和其他用户的密码。

（三）破解MYSQL密码

1.获取MYSQL数据库用户密码加密字符串

使用UltraEdit-32编辑器直接打开user.MYD文件，打开后使用二进制模式进行查看，如图3所示，可以看到在root用户后面是一串字符串，选中这些字符串将其复制到记事本中，这些字符串即为用户加密值，即506D1427F6F61696B4501445C90624897266DAE3。

注意：  

（1）root后面的“*”不要复制到字符串中。  

（2）在有些情况下需要往后面看看，否则得到的不是完整的MYSQLSHA1密码，总之其正确的密码位数是40位。

2.将用户密码字符串加入到Cain破解列表    

本文使用Cain & Abel 来破解MYSQL用户密码，Cain & Abel是一个可以破解屏保、PWL密码、共享密码、缓存口令、远程共享口令、SMB口令、支持VNC口令解码、Cisco Type-7口令解码、Base64口令解码、SQL Server 7.0/2000口令解码、Remote Desktop口令解码、Access Database口令解码、Cisco PIX Firewall口令解码、Cisco MD5解码、NTLM Session Security口令解码、IKE Aggressive Mode Pre-Shared Keys口令解码、Dialup口令解码、远程桌面口令解码等综合工具，还可以远程破解，可以挂字典以及暴力破解，其sniffer功能极其强大，几乎可以明文捕获一切帐号口令，包括FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、MSKERB5-PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等。   

Cain & Abel 目前最新版本是4.9.30，软件下载地址：。下载Cain & Abel 后，直接安装，然后运行它，在Cain & Abel 主界面中单击“Cracker”标签，然后将用户密码的加密字符串“506D1427F6F61696B4501445C90624897266DAE3”加入到MYSQL Hashes破解列表中，如图4所示，单击“Add to list”，如图5所示，将字符串复制到Hash输入框中。Username可以任意输入。

3.使用字典进行破解   

如图6所示，选中刚才添加的需要破解的字符串，然后选择“Dictionary Attack（字典破解）”，在弹出的菜单中选择“MYSQL SHA1 Hashes”方式进行破解，该方式针对的是MYSQL4.1后续版本，对于MYSQL4.1以前版本则选择“MYSQL v3.23 Hashes”进行破解。

选择Dictionary Attack（字典破解）”后会出现一个窗口，主要用于选择字典，如图7所示，在Dictionary下方右键单击，可以添加一个或者多个字典文件，字典选择完毕后可以在“Options（选项）”中进行选择，然后单击“Start”按钮进行破解。

说明：

在“Options（选项）”中一共有8种方式即：

（1）字符串首字母大写

（2）字符串反转

（3）双倍字符串

（4）字符串全部小写

（5）字符串全部大写

（6）在字符串中加入数字

（7）在每个字符串中进行大写轮换

（8）在字符串中加入2个数字   破解成功后Cain会给出一些提示信息，如下所示：

Plaintext of user  is databasepassword

Attack stopped!

1 of 1 hashes cracked

表明加密的密码是“databasepassword”。回到Cain破解主窗口中后，破解的密码值会自动加入到“Password”列中，如图8所示，便于查看。