CSS-T | Mysql Client 任意文件读取攻击链拓展

最新推荐文章于 2023-09-22 14:42:56 发布
最新推荐文章于 2023-09-22 14:42:56 发布
阅读量594 收藏
点赞数
分类专栏: 晓得哥的技术之路 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44058342/article/details/103990121
版权

作者:LoRexxar@知道创宇404实验室 & Dawu@知道创宇404实验室
原文地址:https://paper.seebug.org/1112/#_6
英文版本:https://paper.seebug.org/1113/

这应该是一个很早以前就爆出来的漏洞,而我见到的时候是在TCTF2018 final线下赛的比赛中,是被 Dragon Sector 和 Cykor 用来非预期h4x0r’s club这题的一个技巧。

http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

在后来的研究中,和@Dawu的讨论中顿时觉得这应该是一个很有趣的trick,在逐渐追溯这个漏洞的过去的过程中,我渐渐发现这个问题作为mysql的一份feature存在了很多年,从13年就有人分享这个问题。

·Database Honeypot by design (2013 8月 Presentation from Yuri Goltsev)
·Rogue-MySql-Server Tool (2013年 9月 MySQL fake server to read files of connected clients)
·Abusing MySQL LOCAL INFILE to read client files (2018年4月23日)

在围绕这个漏洞的挖掘过程中,我们不断地发现新的利用方式,所以将其中大部分的发现都总结并准备了议题在CSS上分享,下面让我们来一步步分析。

Load data infile

load data infile是一个很特别的语法,熟悉注入或者经常打CTF的朋友可能会对这个语法比较熟悉,在CTF中,我们经常能遇到没办法load_file读取文件的情况,这时候唯一有可能读到文件的就是load data infile,一般我们常用的语句是这样的:

load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

mysql server会读取服务端的/etc/passwd然后将数据按照'\n'分割插入表中,但现在这个语句同样要求你有FILE权限,以及非local加载的语句也受到secure_file_priv的限制

mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

如果我们修改一下语句,加入一个关键字local。

mysql> load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';
Query OK, 11 rows affected, 11 warnings (0.01 sec)
Records: 11  Deleted: 0  Skipped: 0  Warnings: 11

加了local之后,这个语句就成了,读取客户端的文件发送到服务端,上面那个语句执行结果如下

很显然,这个语句是不安全的,在mysql的文档里也充分说明了这一点

https://dev.mysql.com/doc/refman/8.0/en/load-data-local.html

在mysql文档中的说到,服务端可以要求客户端读取有可读权限的任何文件。

mysql认为客户端不应该连接到不可信的服务端。

我们今天的这个问题,就是围绕这个基础展开的。

构造恶意服务端

在思考明白了前面的问题之后,核心问题就成了,我们怎么构造一个恶意的mysql服务端。

在搞清楚这个问题之前,我们需要研究一下mysql正常执行链接和查询的数据包结构。

1、greeting包,服务端返回了banner,其中包含mysql的版本

2、客户端登录请求

3、然后是初始化查询,这里因为是phpmyadmin所以初始化查询比较多


4、load file local

由于我的环境在windows下,所以这里读取为C:/Windows/win.ini,语句如下

load data local infile "C:/Windows/win.ini" into table test FIELDS TERMINATED BY '\n';

首先是客户端发送查询


然后服务端返回了需要的路径

然后客户端直接把内容发送到了服务端


看起来流程非常清楚,而且客户端读取文件的路径并不是从客户端指定的,而是发送到服务端,服务端制定的。

原本的查询流程为

客户端:我要把win.ini插入test表中
服务端:我要你的win.ini内容
客户端:win.ini的内容如下....

假设服务端由我们控制,把一个正常的流程篡改成如下

客户端:我要test表中的数据
服务端:我要你的win.ini内容
客户端:win.i
最低0.47元/天 解锁文章
晓得哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MYSQl任意文件读取
KHOST的博客
01-20 1187
实现原理: 攻击者搭建一个伪造的mysql服务器,当有用户去连接上这个伪造的服务器时。 攻击者就可以任意读取受害者的文件内容。 主要是因为LOAD DATA INFILE这个语法 作用是读取一个文件的内容并且放到一个表中。 load datalocalinfile"/home/data.csv"intotableTestTable; 读取客户端文件, 漏洞利用: 漏...
mysql 客户端_MySQL客户端攻击的探索
weixin_39862097的博客
11-22 44
原创:Kale合天智汇原创投稿活动:重金悬赏 | 合天原创投稿等你来0X00 前言前言实验室的大佬在Tsec分享了一个mysql的议题,正好我对此也有兴趣,所以就写一篇关于mysql攻击的文章!注:MySQL相关的学习可到合天网安实验室学习实验——MySQL数据库安全:掌握MySQL数据库的相关安全配置操作点击:实验:MySQL数据库安全(合天网安实验室)开始操作实验哦(PC端操作最佳哟)0X0...
mysql中直接读取数据并导出文件
wangqiaowqo的专栏
09-27 162
/data/mysql/bin/mysql -h10.22.202.142 -uxxxx -pxxxxx -P5029 client --default-character-set=latin1 -e " select distinct uid, device_ip_province from ios_push_iphone where from_unixtime(visit_time) betw...
Jdbc Mysql常用连接url,解决常见问题(解决远程Load data infile问题)
qq_18453581的博客
05-30 1884
最直接用dos命令 mysql -u用户名 -p密码 数据库 -P端口 -h主机 --local-infile=1 -e "LOAD DATA LOCAL INFILE 'c:/test.txt' INTO TABLE 表名 FIELDS TERMINATED BY '\t' ENCLOSED BY '\t';" jdbc:mysql://ip:port/数据库名称?useUnico...
Mysql allowLoadLocalInfil 参数漏洞分析
编码行者的博客
01-06 2122
收到这个漏洞首先,第一时间去官网,官网说这个参数3.03版本就修复了。默认false值。想当然的认为没问题,分析版本一大波操作下来,最后看源码默认值true,坑爹的官网有错误,坑死老夫了,果断跟官网反映 allowLoadLocalInfile Should the driver allow use of “LOAD DATA LOCAL INFILE …”? Setting to “true” overrides whatever path is set in ‘allowLoadLocalInfile
bulma-css:Bulma CSS-开源组件| 应用种子
05-24
它不会更改或将任何CSS添加到Bulma Framework中已存在CSS上。 它具有多个HTML元素,可在所有使用Bulma CSS的Web项目中使用。 CSS组件 Bulma Css带有18种以上完全编码CSS元素和布局。 实时代码编辑器 Bulma-css包含...
parcel-plugin-css-to-string:将CSS文件作为字符串导入javascript
05-04
包裹插件css到字符串 将CSS文件作为字符串导入JavaScript。 styles.css . text { color : # 162D3D ;} index.js import styles from "./styles.css" ;console . log ( styles ) ; // ".text{color:#162D3D}"安装npm ...
typed-css-modules:从CSS模块.css文件创建.d.ts文件
02-06
从.css文件创建TypeScript定义文件。 如果您具有以下CSS, /* styles.css */ @value primary: red ; . myClass { color : primary; } typed-css-modules从上述CSS创建以下.d.ts文件: /* styles.css.d.ts */ ...
gt-jdbc-mysql-2.6.1.jar.zip_css_gt-jdbc-mysql
09-20
geoserver里mysql支持jra,用于mysql数据库
portfolio:基本产品组合网站使用-HTML | CSS | JS | 引导程序
05-15
投资组合网站访问此处-> #Basic Portfolio网站使用-HTML | CSS | JS | 引导程序
Mysql注入中的outfile、dumpfile、load_file函数详解
01-19
在利用sql注入漏洞后期,最常用的就是通过mysqlfile系列函数来进行读取敏感文件或者写入webshell,其中比较常用的函数有以下三个 into dumpfile() into outfile() load_file() 我们本次的测试数据如下 读写文件函数调用的限制 因为涉及到在服务器上写入文件,所以上述函数能否成功执行受到参数 secure_file_priv 的影响。官方文档中的描述如下 翻译一下就是 其中当参数 secure_file_priv 为空时,对导入导出无限制 当值为一个指定的目录时,只能向指定的目录导入导出 当值被设置为NULL时,禁止导
JDBC MySQL任意文件读取分析
stopys6的博客
09-22 359
文章首发于知识星球-赛博回忆录。给主管打个广告,嘿嘿。在渗透测试中,有些发起mysql测试流程(或者说mysql探针)的地方,可能会存在漏洞。在连接测试的时候通过添加allowLoadLocalInfileInPath,allowLoadLocalInfile,allowUrlInLocalInfile与伪造的服务器进行通信,造成任意文件读取。完整payload:test?以下是可以利用该漏洞的一些场景。
MySQL load data local infile踩坑
yz_yz1234的博客
04-08 4261
问题描述 在我写从hdfs转储数据到mysql的过程中,使用jdbc调用LOAD DATA local infile命令批量插入时一直会出现 The used command is not allowed with this MySQL version 我使用的是mysql8,因为这方面经验不足,走了不少弯路,小记一下,留存。 在mysql8中,local infile是默认关闭的,我查了...
用c#把csv导入mysql :HResult=0x80131515,AllowLoadLocalInfile=true
weixin_44237526的博客
05-05 2099
最近我在做课设,用的c#,其中要求用c#把csv导入mysql 我参照了这个如下网页的方法,写了如下代码:https://jingyan.baidu.com/article/25648fc19faa829191fd0099.html string constr = "server=localhost;port=3306;user=root;password=root;dat...
mysql修改local_infile,切换到mysqli后LOCAL INFILE的问题
weixin_34901693的博客
01-20 1402
Anyone that is aware of the issues with using LOCAL INFILE in PHP will understand my frustration with this.I previously got LOCAL INFILE working properly in all my PHP scripts by using the 128 flag in...
浅析MySQL恶意服务器读取文件原理
蚁景网安学院
03-25 4089
搭建MySQL恶意服务器读取文件这件事,虽然直接利用门槛较高,但是由于在网上看到了一种比较新颖的利用方式(利用社会工程学引诱用户连接MySQL进而读取用户文件),个人觉得比较有意思,总结了一下攻击原理以及攻击方式...
mysql任意文件读取漏洞学习
BerL1n
09-13 3680
前言 最近在做ctf题时发现关于mysql任意文件读取漏洞的考点非常频繁,而且一直都朦胧不清,也没去学习,在不久前的DDCTF和国赛,还有最近的Nu1lCTF中都考到了这个点,利用Load data infile语法。在mysql客户端登陆mysql服务端后,客户端执行语句Load data local infile '/etc/passwd' into table proc;,从而可以导致mys...
MySQL变量:local_infile
热门推荐
记事本
04-10 2万+
local_infile服务器变量指示能否使用load data local infile命令。该变量默认为ON。 该变量为OFF时,禁用客户端的load data local infile命令。 Sql代码 mysql>showcreatetabletest.t\G ***************************1.row**********...
mysql无法用local_mysql数据库不支持LOAD LOCAL INFILE.
weixin_32688511的博客
01-20 768
我的mysql版本是5.5.53 ,请问怎么开启load local infile呢? 我在网上找的教程都是关于linux下面的,我装的是phpstudy集成环境,谢谢。系统:win server2008 R2下面是检查的方法:public static function getDatabaseSupportsLoadLocalInFile($databaseType,$databaseHostn...
使用css,给下面的html 加上-|||-背景色:蓝色blue-|||-字体大小设置为:16px-|||-宽度:100px-|||-高度:100px-|||-代码如下: ​〈div class=“school”〉培黎职业学院〈/div〉
最新发布
03-28
```css .school { background-color: blue; font-size: 16px; width: 100px; height: 100px; } ``` 这段CSS代码将会给class为"school"的div元素添加背景色为蓝色(blue),字体大小为16像素(16px),宽度为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值