上周发现了一个神奇的 Mariadb 服务端插件,可以用来做蜜罐,这里分享给大家。说是一个蜜罐,但在渗透中,也可以用来搞定某些服务器,你懂的。
简单讲,MariaDB 存在一个未公开的协议,在客户端进行查询前,重写客户端要执行的查询语句,并重新发起查询。那么这个有什么危害呢?
如果我们将客户端的查询语句,替换为某些恶意的语句,e.g.
- LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test.loot
就可以实现一些对客户端的攻击。如果是 Windows 客户端,这个危害还可以进一步扩大,你懂的。
其实这个场景还是很多的,很多 MySQL 监控程序,都会连接数据库,执行一些语句,e.g.
- SELECT @@server_id
如果被替换成读取敏感文件的语句,Well~
我们用 Ubuntu 16.04 进行演示,安装好 mariadb 和 maxscale
我们先简单配置下 Mariadb,创建一个库和用户,
确认 mariadb 可用之后,我们再配置下 maxscale 插件,完整配置在文末可以下载。
我们添加一个新的 Filter, 它负责把 `select @@server_id` 替换为 `LOAD DATA` 语句,实现客户端文件盗取。
当客户端连接上服务器,注意 MaxScale 监听的是 4008 端口
我们执行下 select @@server_id 然后退出,
现在重新链接到原始服务器,发现 test.loot 已经写入了数据 ,
好了,我们成功的读取到了 `/etc/passwd`,那么这个真的只影响 MySQL 客户端?不是的,不管你用 PHP、Python 还是 Ruby,都会受到影响,所以这个危害还是很大的。
当然, 一个聪明的攻击者,应当禁用 Mariadb 的认证机制,让任何客户端都能够连接。
来源: http://www.tuicool.com/articles/UjEVnyi