安全路透社
当前位置:安全路透社 > 网络转载 > 正文

Mariadb蜜罐:用改造过的服务端攻击客户端

*本文原创作者:c0debreak

上周发现了一个神奇的 Mariadb 服务端插件,可以用来做蜜罐,这里分享给大家。说是一个蜜罐,但在渗透中,也可以用来搞定某些服务器,你懂的。

简介

简单讲,MariaDB 存在一个未公开的协议,在客户端进行查询前,重写客户端要执行的查询语句,并重新发起查询。那么这个有什么危害呢?

如果我们将客户端的查询语句,替换为某些恶意的语句,e.g.

LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test.loot

就可以实现一些对客户端的攻击。如果是Windows客户端,这个危害还可以进一步扩大,你懂的。

其实这个场景还是很多的,很多 MySQL 监控程序,都会连接数据库,执行一些语句,e.g.

SELECT @@server_id

如果被替换成读取敏感文件的语句,Well~

实战演示

配置服务

我们用 Ubuntu 16.04 进行演示,安装好 mariadb 和 maxscale

MaxScale For Ubuntu 在这里下载

我们先简单配置下 Mariadb,创建一个库和用户,

screen 2017-03-10 at 11.07.19.jpg

确认 mariadb 可用之后,我们再配置下 maxscale 插件,完整配置在文末可以下载。

我们添加一个新的 Filter, 它负责把 `select @@server_id` 替换为 `LOAD DATA` 语句,实现客户端文件盗取。

screen 2017-03-10 at 11.19.21.jpg

实际效果演示

下面我们打开另外一台虚拟机,一台 CentOS 5 的服务器

我们先确认下 /etc/passwd 的内容,和 MariaDB 所在的服务器内容不同,

图1.jpg

客户端的文件,最后一行是 xfs 用户,

图2.jpg

而恶意的MariaDB服务器上,最后一行是 work 账号,而且没有 xfs 用户(grep 验证了下)

下面我们来连接到恶意的服务器,执行一下 select @@server_id 命令(注意 MaxScale 监听的是 4008 端口)

图3.jpg

执行成功,回到恶意的MairaDB服务器,发现 test.loot 已经写入了数据,而且是客户端的文件哦

图4.jpg

好了,我们成功的读取到了 /etc/passwd,那么这个真的只影响 MySQL 客户端?不是的,不管你用 PHP、Python 还是 Ruby,都会受到影响,所以这个危害还是很大的。

当然,一个聪明的攻击者,应当禁用Mariadb的认证机制,让任何客户端都能够连接。

附件

完整 MaxScale 配置

*本文原创作者:c0debreak

未经允许不得转载:安全路透社 » Mariadb蜜罐:用改造过的服务端攻击客户端

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册