MySQL File priv to SSRF/RCE
这是来自https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/的MySQL/MariaDB/Percona技术摘要。
通过SQL函数实现服务器端请求伪造(SSRF)
在探索SQL带外数据泄露时,LOAD_FILE()
函数通常用于发起网络请求。然而,该函数受操作系统和数据库启动配置的限制。
如果未设置secure_file_priv
全局变量,默认为/var/lib/mysql-files/
,限制文件访问仅限于该目录,除非设置为空字符串(""
)。这种调整需要修改数据库的配置文件或启动参数。
假设secure_file_priv
已禁用(""
),并假设已授予必要的文件和file_priv
权限,可以读取指定目录之外的文件。然而,这些函数进行网络调用的能力高度依赖于操作系统。在Windows系统上,由于操作系统理解UNC命名约定,因此可以对UNC路径进行网络调用,潜在地导致NTLMv2哈希的泄露。
这种SSRF方法仅限于TCP端口445,并且不允许修改端口号,尽管它可以用于访问具有完全读取权限的共享目录,并且正如先前研究所示,可以窃取哈希以进行进一步利用。
通过用户定义函数(UDF)实现远程代码执行(RCE)
MySQL数据库提供了从外部库文件使用用户定义函数(UDF)的功能。如果这些库文件在特定目录或系统的$PATH
中可访问,则可以从MySQL中调用它们。
通过这种技术,可以执行通过UDF进行的网络/HTTP请求,前提是满足多个条件,包括对@@plugin_dir
具有写访问权限,file_priv
设置为Y
,以及禁用secure_file_priv
。
例如,可以加载lib_mysqludf_sys
库或其他允许HTTP请求的UDF库以执行SSRF。这些库必须传输到服务器,可以通过对库内容进行十六进制或base64编码,然后将其写入适当的目录来实现。
如果@@plugin_dir
不可写,特别是对于MySQL版本高于v5.0.67
的情况,该过程会有所不同。在这种情况下,必须使用可写的替代路径。
这些过程的自动化可以通过工具(如SQLMap,支持UDF注入)来实现,并且对于盲SQL注入,可以利用输出重定向或DNS请求欺骗技术。
最后更新于