mysql malloc lib_CVE-2016-6662-MySQL ‘malloc_lib’变量重写命令执行分析 | CN-SEC 中文网...

最新推荐文章于 2022-10-24 11:37:02 发布
最新推荐文章于 2022-10-24 11:37:02 发布
阅读量196 收藏
点赞数
文章标签: mysql malloc lib
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39760967/article/details/113278788
版权

摘要

今天有个关于MySQL的漏洞被披露出来,编号CVE-2016-6662。该漏洞主要涉及到 mysqld_safe 脚本中在加速/处理内存时会采用 “malloc_lib”变量作为辨别标记选择性加载(preload方式)比如tcmalloc之类的malloc库。不幸的的是这个变量可以被my.cnf所控制,导致my.cnf一旦被攻击者在mysql客户端篡改的话可以直接导致mysqld_safe所调用的mysqld进程执行权被控制。

1c12abda09dc2f4555f14ce0321de2df.png

前言

今天有个关于MySQL的漏洞被披露出来,编号CVE-2016-6662。该漏洞主要涉及到 mysqld_safe 脚本中在加速/处理内存时会采用 “malloc_lib”变量作为辨别标记选择性加载(preload方式)比如tcmalloc之类的malloc库。不幸的的是这个变量可以被my.cnf所控制,导致my.cnf一旦被攻击者在mysql客户端篡改的话可以直接导致mysqld_safe所调用的mysqld进程执行权被控制。

技术分析

具体的攻击思路前言部分基本已经表述出来,这里不再重述。笔者来看看漏洞作者在【1】中做了3种攻击方式。作者的思路基本是围绕着如何用这几种技巧写入 my.cnf 被mysqld_safe调用执行这个中心攻防点来进行。

我们先看看最简单的第1种方法

1)采用 set global general_log 来绕过已存在文件(即my.cnf)

a)设置 my.cnf 为 mysql 用户所在权限的基础上

# ll /etc/my.cnf

-rw-r--r-- 1 mysql mysql 380 Sep 12 23:18 /etc/my.cnf

注:默认权限是root,但是不排除mysql集群使用时每个my.cnf是mysql组可读写;

b)开始攻击,各位直接看图吧

注: 这里使用root登录,普通用户默认是没更改全局变量general_log_file 的权限

1

2

mysql>  set global general_log_file = '/etc/my.cnf';

ERROR 1227 (42000): Access denied; you need the SUPER privilege for this operation

be8c07d565e6bb4d8392f144bf47f2de.png

攻击成功后的my.cnf

e46b11a785fe016cd393d406fba1bc19.png

2)使用隐藏的/var/lib/mysql/.my.cnf 和 /var/lib/mysql/my.cnf

这部分讲起来其实意义不大,就是历史原因造成这部分mysql数据目录下的my.cnf和.my.cnf。最糟糕的是这部分还是mysql用户组可以读写的目录。所以我们又能控制到my.cnf了。

写入的方法有两种,一种还是方法一的变量,另一个是常见 INTO OUTFILE 文件注入技巧。

3)作者考虑下了上面2种方式都是需要

作者在假设攻击者还有文件权限的情况下使用写入触发器文件的方式来“

CREATE DEFINER=`root`@`localhost` TRIGGER appendToConf

AFTER INSERT

ON `active_table` FOR EACH ROW

BEGIN

DECLARE void varchar(550);

set global general_log_file='/var/lib/mysql/my.cnf';

set global general_log = on;

select "

[mysqld]

malloc_lib='/var/lib/mysql/

" INTO void;

set global general_log = off;

END;

接下来就等这个这个触发器在表被flushed的时候被触发了(说真的,笔者没实践这个步骤),比如:

1

INSERT INTO `active_table` VALUES('xyz');

这样我们就可以

最后,关于PoC或相关的信息您可以直接访问【1】获得。作者其实在后面的so也提供一个很好的回写技巧,由于preload可以优先mysqld进程加载my.cnf,所以它就能修复my.cnf里的内容。J

最后

这个漏洞的危害建立在一个你至少需要普通用户的基础上,危害程度得因人而异,不注意安全的可能使用的mysql是一大堆弱口令的root用户;注意安全的基本都是普通mysql用户;集群上启动MySQL进程的用户也是个需要考虑的;至于web注入点使用这个功能个人觉得可能就比较窄了。

MySQL的修复【2】选择的是对malloc_lib的路径进行限制 /usr/lib, /usr/lib64, /usr/lib/i386-linux-gnu, or /usr/lib/x86_64-linux-gnu;

最后,笔者认为My

参考

本文由 安全客 原创发布,如需转载请注明来源及本文地址。

本文地址:http://bobao.360.cn/learning/detail/3026.html

weixin_39760967
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mjjanusa-malloc-lab-2-04360fc.zip_csapp malloc_malloc l_malloc
09-22
csapp 实验 这是csapp实验中的第三个系列,有关malloc 的改写,就发了有用的
MySQL 通过 jemalloc 管理内存
渔夫数据库笔记
10-24 2800
jemalloc 强调了碎片避免和可扩展的并发支持。jemalloc于2005年首次作为FreeBSD libc分配器使用,从那以后它已经进入许多依赖于其可预测行为的应用程序。jemalloc适合多线程下内存分配管理,jemalloc从各方评测的结果可见与google tcmalloc都不相伯仲,皆为内存管理器领域最高水平。有时候,我们想采用Jemalloc来替代glibc库的malloc内存管理方式,或者如果想启用TokuDB引擎,则就必须启用Jemalloc才行了。
MySQL 通过Tcmalloc管理内存
渔夫数据库笔记
10-24 708
有时候,我们想用 tcmalloc 来替代glibc库的malloc内存管理方式。本博客详细介绍了如何安装 tcmalloc 以及如何加载tcmalloc
朋友y的tcmalloc问题
热门推荐
csdn's blog
04-17 1万+
mysql版本是5.7.33,采用采用malloc-lib=tcmalloc的方式启动,有这样的报错信息:mysqld_safe --malloc-lib must be an absolute path ignoring value 'tcmalloc' 看了tcmalloc安装路径,是: ll /usr/lib/libtcmalloc.so lrwxrwxrwx 1 root root 29 Apr 16 17:49 /usr/lib/libtcmalloc.so -> /usr/...
mysql malloc lib_mysql启动过程
weixin_35508482的博客
01-19 827
明白/etc/init.d/mysql从哪里来,和mysql.server什么关系?/etc/init.d/mysqlmysqld_safe之间的关系mysqld_safe怎么把mysql启动起来的mysql就是mysql.server拷贝到这里来的。mysql启动,调用mysqld_safemysqld_safe调用mysqld将mysql启动起来。扩展知识:mysqld_safe是mysql...
MySQL高危代码执行0Day漏洞及修复方案
10-21 1359
漏洞描述: 漏洞编号:CVE-2016-6662与CVE-2016-6663,攻击者可以远程和本地利用漏洞ROOT权限执行代码,完全控制MySQL数据库。攻击者仅需有FILE权限即可实现ROOT提权,进而控制服务器。 影响版本:<=5.7.15 漏洞等级:高危 修复建议: 1、0Day漏洞暂无厂商修复方案。临时缓解方案:确保MySQL配置文件不在mysql用户手中,并建立root权限、不使...
timeout-list-malloc.rar_glib链表_malloc_双向链表 Linux实验_容器 定时
09-19
从uclibc的malloc和glib的glist、timeout提取出来的代码,用于嵌入式开发。分配一块内存用于动态内存,有定时功能,提供双向链表这种容器。用于没有操作系统和c标准库支持的环境。
FLOYDsuanfa.rar_M?n_malloc.h_math.h_stdio.h_string.h
09-20
#include "stdio.h" #include "math.h" #include "malloc.h" #include "string.h" #define m 6 #define n 29 #define p 0.5
shu2.rar_K._malloc.h
09-21
2.[问题描述] 编写递归算法,在二叉树中求位于先序序列中第K个位置的结点 [输入] 按照先序序列的顺序输入该结点的...malloc.h> struct node{ char info struct node*llink,*rlink } typedef struct node NODE
xianxingbiao.rar_malloc.h_sqlist_sqlist的建立
09-19
实习题 [问题描述] 1. 设顺序表中的数据元素递增有序,将插入到顺序表的适当位置上,是该表仍然有序。 [输入] 初始顺序表,插入字符。...malloc.h> #define LIST_INTI_SIZE 100//初始空间大小 typedef struct SqList
MySQL远程代码执行(CVE-2016-6662)漏洞预警
煜铭2011
09-13 5350
一、漏洞基本信息 CVE编号:CVE-2016-6662 漏洞名称:MySQL远程代码执行 漏洞发布日期:2016.09.12 受影响的软件及系统:MySQL 漏洞概述:这个漏洞影响(5.7, 5.6, 和 5.5版本)的所有Mysql默认配置,包括最新的版本,攻击者可以远程和本地利用该漏洞。该漏洞需要认证访问MYSQL数据库(通过络连接或者像phpMyAdmin的web接口),以及
mysql cve 2016 3521,CVE-2016-6662CVE-2016-6663 MySQL代码执行0-day漏洞 可本地提权
weixin_32531655的博客
03-17 439
漏洞简介: CVE-2016-6662漏洞可令来自远程或本地的攻击者,往MySQL设置文件(my.cnf)中注入自定义的数据库设置。该问题仅影响到默认设置下的MySQL服务器,从漏洞利用步骤来看,在数据库重启后即可触发。通常在系统更新、包更新等操作期间,数据库服务器都会重启。认证访问MySQL数据库(通过络连接或者如phpMyAdmin一类web界面),以及SQL注入都可作为漏洞利用方式——尤...
Mysql本地提权及远程代码执行漏洞浅析(CVE-2016-6662)
9ian1i
10-17 4661
0x00 漏洞影响mysql 5.5、5.6、5.7 在10月份更新前的所有版本,包括分支版本MariaDB和PerconaDB 。0x01 利用途径通过远程数据库连接,web接口如phpMyAdmin,以及sql注入都可以完成。0x02 漏洞原理一些默认的mysql安装方式并且mysqld_safe脚本作为包装器以root权限启动mysql服务进程,比如像:service mysql start
MySQL不同内存分配方法的配置及简单对比
敖尔其楞的专栏
03-03 3239
mysql-safe的脚本中可以使用–malloc-lib=[lib_name]来指定内存分配的库,而不是使用系统的malloc()方法,对于MySQL5.6.33这个选项的值必须是下面几个目录中的一个/usr/lib /usr/lib64 /usr/lib/i386-linux-gnu或/usr/lib/x86_64-linux-gnu,这个版本之前的可以指定路径,在5.6的二进制分发版有个快...
mysql malloc lib_利用tamalloc 优化nginx和mysql
weixin_30209121的博客
01-27 137
TCMalloc的实现原理和测试报告请见一篇文章:《TCMalloc:线程缓存的Malloc》为MySQL添加TCMalloc库的安装步骤(Linux环境):1、64位操作系统请先安装libunwind库,32位操作系统不要安装。libunwind库为基于64位CPU和操作系统的程序提供了基本的堆栈辗转开解功能,其中包括用于输出堆栈跟踪的API、用于以编程方式辗转开解堆栈的API以及支持C++异常...
CVE-2016-6662,研究人员披露 关键MySQL 0day漏洞
nani1114的博客
09-14 2278
安全研究员Dawid Golunski揭露了一个影响流行的数据库管理系统(RDBMS)MySQL的关键性0day。研究人员决定披露关键漏洞,因为甲Oracle在研究人员报告0day漏洞40天后也没有没有发行补丁。 CVE-2016-6662可以被远程攻击者注入恶意设置为my.cnf配置文件。该漏洞可以被触发并完全向DBMS妥协,通过执行任意拥有root权限的代码,并在服务
堆漏洞挖掘:19---_lib_malloc函数源码详解
董哥的黑板报
08-10 1255
一、_lib_malloc函数介绍 当我们在应用层调用malloc申请堆的时候,在glibc中实际上调用的是_lib_malloc函数,但是_lib_malloc函数只是用来简单的封装_int_malloc函数的,_int_malloc函数才是申请堆的核心函数 二、__malloc_hook全局变量 函数介绍:_lib_malloc首先通过__malloc_hook全局变量获取一个函数指针,然...
callFunc->getName().str() == "malloc_symbolized"
最新发布
06-11
这段代码通常出现在 LLVM IR 的分析、优化或转换过程中,用于判断当前指令是否调用了名为 `malloc_symbolized` 的函数。具体来说,这段代码可以被解释为: 1. `callFunc` 是一个指向 LLVM IR 中某个函数调用指令的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值