快捷導(dǎo)航

MySQL客戶端任意文件讀取漏洞方式

更新時(shí)間：2025年02月22日 08:41:08 作者：不會畫畫的畫師

本文介紹了MySQL服務(wù)端反向讀取客戶端任意文件的漏洞原理,利用LOADDATAINFILE語法實(shí)現(xiàn),通過偽造MySQL服務(wù)器,客戶端讀取的文件內(nèi)容由服務(wù)端決定,漏洞復(fù)現(xiàn)步驟包括獲取腳本、修改配置、運(yùn)行服務(wù)器、客戶端連接并查看日志,防范措施包括使用SSL模式和設(shè)置local_infile為0

原理

1、通信機(jī)制

由于MySQL服務(wù)端和客戶端通信過程是通過對話形式完成的?？蛻舳税l(fā)送一個操作請求，服務(wù)端會根據(jù)客戶端發(fā)送的請求進(jìn)行響應(yīng)。

在這個通信過程中，如果一個操作需要兩步才能完成，當(dāng)客戶端發(fā)完第一個請求后，它會直接丟棄第一個請求，并不會做存儲；然后客戶端會根據(jù)服務(wù)端的響應(yīng)，進(jìn)行第二個請求，此時(shí)服務(wù)端就可以欺騙客戶端。

2、語法說明

MySQL服務(wù)端反向讀取客戶端的任意文件是利用了LOAD DATA INFILE語法，該語法主要用于讀取文件內(nèi)容并插入到表中。

-- 讀取服務(wù)端本地文件，并插入到表中
load data infile "/data/data.csv" into table test_table;
-- 讀取客戶端本地文件，并插入到表中
load data local infile "/data/data.csv" into table test_table;

針對該語法，MySQL官方文檔原文：

In theory, a patched server could be built that would tell the client program to transfer a file of the server’s choosing rather than the file named by the client in the LOAD DATA statement.” 從理論上講，可以構(gòu)建一個經(jīng)過修補(bǔ)的服務(wù)器，該服務(wù)器會指示客戶端程序傳輸由服務(wù)器選擇的文件，而不是客戶端在 LOAD DATA 語句中指定的文件.

即客戶端讀取的文件內(nèi)容，并不是由客戶端決定的，而是根據(jù)服務(wù)端的響應(yīng)決定的，于是就可以偽造MySQL服務(wù)器，實(shí)現(xiàn)通信示例3的效果。

舉例說明：