原标题:【渗透测试要点】MySQL攻击面和提权总结
本次实验使用腾讯云主机的MySQL Server作为服务端,阿里云主机作为MySQL客户端。
其中均使用宝塔面板搭建MySQL8.0版本。
首先要开放腾讯云主机的端口,并且允许MySQL Server允许任意用户远程登录。
1
攻击面——MySQL客户端任意文件读取
适用范围:全版本 MySQL/MariaDB Client
条件:客户端连接时开启 –enable-local-infile
一开始做实验的时候有点懵逼,我作为攻击方去连接受害者的MySQL客户端,然后再读取我本地的文件???
后来我再网上查看这个攻击面的利用场景,虽然确实用的地方比较少,但是看了LoRexxar这篇文章之后,还是很有收获的。
这个实验的前提MySQL变量local_infile=1
CTFer对MySQL的load data infile语句应该都是比较熟悉的,一般形式:
1loaddatainfile"/etc/passwd"intotablemytable FIELDSTERMINATEDBY'n';
MySQL Server会读取服务端的/etc/passwd然后将数据按照n分割插入表中,但是非local加载的语句收到secure_file_priv的限制:
1mysql> loaddata infile "/etc/passwd"into tablemytable FIELDS TERMINATED BY 'n';
2ERROR 1290(HY000): The MySQL server is runningwith the --secure-file-priv option so it cannot execute this statement
3mysql> select@@secure_file_priv;
4+ --------------------+
5| @@secure_file_priv |
6+ --------------------+
7| NULL |
8+ --------------------+
91row inset ( 0.00sec)
但是加上一个local关键字:
1mysql> loaddata localinfile "/etc/passwd"into tablemytable FIELDS TERMINATED BY 'n';
2Query OK, 4rows affected, 1warning ( 0.02sec)
3Records: 4Deleted: 0Skipped: 0Warnings: 1
是可以成功执行的,相当于是读取客户端的文件发送到服务端。
MySQL认为服务端可以要求客户端读取有可读权限的任何文件,客户端不应该连接到不可信的服务端。
那么现在的问题就是如何构造一个恶意的MySQL服务端。
在搞清楚这个问题之前,我们需要研究一下mysql正常执行链接和查询的数据包结构。
1、Sever返回greeting包,包含版本,协议类型,salt值,server功能项