前几天做测试的时候,遇到个adminer,成功利用MySQL LOAD DATA特性进行文件读取,并最终getshell。
MySQL LOAD DATA
主要是用于读取一个文件的内容并且放到一个表中。
正常流程:
|
|
恶意流程:
|
|
该特性适用于:MySQL Client、PHP with mysqli、PHP with PDO(默认未开启MYSQL_ATTR_LOCAL_INFILE属性,需要手工开启才可以)、Python with MySQLdb、Python3 with mysqlclient、Java with JDBC Driver等。
adminer
Adminer是一个使用PHP开发的数据库管理工具,和phpMyAdmin类似。
扫描端口,开放8080端口,访问为Adminer 登录页面
下载漏洞利用工具Rogue-MySql-Server,配置完之后在服务上启动
填写服务器地址,访问
成功读取到目标的/etc/passwd文件
尝试读取web目录文件
后续直接读取配置文件,获取mysql账号密码
使用账号密码登录adminer
利用日志getshell
访问shell
思考
后续思考了下,只要服务端提供MySQL测试/连接的地方,都有可能存在此问题。
比如常见的:
- 远程管理(phpMyAdmin、Adminer等)
- 各类探针(LNMP探针、phpStudy探针、PHP探针等)
- 系统安装程序(wordpress、Discuz、phpwind等)
- 其他测试连接/工具页面
在fofa上搜了下,还挺多的
参考文章
https://lightless.me/archives/read-mysql-client-file.html
