关于MySQL LOAD DATA特性的利用与思考

前几天做测试的时候,遇到个adminer,成功利用MySQL LOAD DATA特性进行文件读取,并最终getshell。

MySQL LOAD DATA

主要是用于读取一个文件的内容并且放到一个表中。

正常流程:

1
2
3
客户端:hi~ 我将把我的 data.csv 文件给你插入到 test 表中!
服务端:OK,读取你本地 data.csv 文件并发给我!
客户端:这是文件内容:balabal!

恶意流程:

1
2
3
客户端:hi~ 我将把我的data.csv 文件给你插入到test表中!
服务端:OK,读取你本地的/etc/passwd文件并发给我!
客户端:这是文件内容:balabal(/etc/passwd文件的内容)!

该特性适用于:MySQL Client、PHP with mysqli、PHP with PDO(默认未开启MYSQL_ATTR_LOCAL_INFILE属性,需要手工开启才可以)、Python with MySQLdb、Python3 with mysqlclient、Java with JDBC Driver等。

adminer

Adminer是一个使用PHP开发的数据库管理工具,和phpMyAdmin类似。

扫描端口,开放8080端口,访问为Adminer 登录页面

下载漏洞利用工具Rogue-MySql-Server,配置完之后在服务上启动

填写服务器地址,访问

成功读取到目标的/etc/passwd文件

尝试读取web目录文件

后续直接读取配置文件,获取mysql账号密码

使用账号密码登录adminer

利用日志getshell

访问shell

思考

后续思考了下,只要服务端提供MySQL测试/连接的地方,都有可能存在此问题。

比如常见的:

  • 远程管理(phpMyAdmin、Adminer等)
  • 各类探针(LNMP探针、phpStudy探针、PHP探针等)
  • 系统安装程序(wordpress、Discuz、phpwind等)
  • 其他测试连接/工具页面

在fofa上搜了下,还挺多的

参考文章

https://lightless.me/archives/read-mysql-client-file.html

https://www.40huo.cn/blog/evil-mysql.html

https://xz.aliyun.com/t/3973

https://www.smi1e.top/mysql-load-data-%E8%AF%BB%E5%8F%96%E5%AE%A2%E6%88%B7%E7%AB%AF%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6/

https://xz.aliyun.com/t/6587

https://github.com/allyshka/Rogue-MySql-Server

大爷,赏个铜板呗!