做渗透测试的时候,遇到个adminer,成功利用MySQL LOAD DATA特性来读取文件,最终得到shell。
MySQL LOAD DATA
它主要用于读取文件的内容并将其放入表中。
正常流程:
客户端:hi~ 我将把我的 data.csv 文件给你插入到 test 表中!
服务端:OK,读取你本地 data.csv 文件并发给我!
客户端:这是文件内容:balabal!
恶意流程:
客户端:hi~ 我将把我的data.csv 文件给你插入到test表中!
服务端:OK,读取你本地的/etc/passwd文件并发给我!
客户端:这是文件内容:balabal(/etc/passwd文件的内容)!
此功能适用于:MYSQL客户端、带有MySQL的PHP、带有PDO的PHP(默认情况下,没有打开MYSQL_ATTR_LOCAL_INFILE属性,需要手动打开)、带有MySQL数据库的Python、带有MySQL客户端的Python3、带有JDBC驱动程序的Java等。
adminer
Adminer是一个用PHP开发的数据库管理工具,类似于phpMyAdmin
通过端口扫描工具扫描端口,开放8080端口,访问为Adminer 登录页面
下载漏洞利用工具Rogue-MySql-Server,配置后在服务上启动它
https://github.com/allyshka/Rogue-MySql-Server
在adminer页面填写服务器地址账户密码任意,点击登录
成功读取到目标的/etc/passwd
文件
尝试读取web目录文件
后续直接读取配置文件,获取mysql账号密码
使用账号密码登录adminer
利用日志getshell
访问shell
思考
后续经过思考,只要服务端提供MySQL测试/连接,就可能存在这个问题
比如常见的:
远程管理(phpMyAdmin、Adminer等)
各类探针(LNMP探针、phpStudy探针、PHP探针等)
系统安装程序(wordpress、Discuz、phpwind等)
其他测试连接/工具页面
在fofa搜索引擎上搜了下,还是有很多的
参考文章
https://lightless.me/archives/read-mysql-client-file.html
https://xz.aliyun.com/t/3973
https://xz.aliyun.com/t/6587
https://github.com/allyshka/Rogue-MySql-Server