昨天做测试的时候,遇到个Adminer,成功利用MySQL LOAD DATA特性进行文件读取,并最终getshell。
MySQL LOAD DATA
主要是用于读取一个文件的内容并且放到一个表中。
正常流程:
代码语言:javascript复制客户端:hi~ 我将把我的 data.csv 文件给你插入到 test 表中!服务端:OK,读取你本地 data.csv 文件并发给我!客户端:这是文件内容:balabal!恶意流程:客户端:hi~ 我将把我的 data.csv 文件给你插入到test表中!服务端:OK,读取你本地的 /etc/passwd 文件并发给我!客户端:这是文件内容:balabal(/etc/passwd文件的内容)!该特性适用于:MySQL Client、PHP with mysqli、PHP with PDO(默认未开启MYSQL_ATTR_LOCAL_INFILE属性,需要手工开启才可以)、Python with MySQLdb、Python3 with mysqlclient、Java with JDBC Driver等。
Adminer
扫描端口,开放8080端口,访问为Adminer 登录页面
Adminer是一个使用PHP开发的数据库管理工具,和phpMyAdmin类似。
下载漏洞利用工具:Rogue-MySql-Server,配置完之后在服务上启动
填写服务器地址,访问
成功读取到目标的/etc/passwd文件
尝试读取web目录文件
后续直接读取配置文件,获取mysql账号密码
使用账号密码登录adminer
利用日志getshell
访问shell
思考
后续思考了下,只要服务端提供MySQL测试/连接的地方,都有可能存在此问题。
比如常见的:
- 远程管理(phpMyAdmin、Adminer等)
- 各类探针(LNMP探针、phpStudy探针、PHP探针等)
- 系统安装程序(wordpress、Discuz、phpwind等)
- 其他测试连接/工具页面
在fofa上搜了下,还挺多的
参考文章
https://lightless.me/archives/read-mysql-client-file.html
https://www.40huo.cn/blog/evil-mysql.html
https://xz.aliyun.com/t/3973
https://www.smi1e.top/mysql-load-data-读取客户端任意文件/
https://xz.aliyun.com/t/6587
https://github.com/allyshka/Rogue-MySql-Server
