SSRF To RCE in MySQL

xfkxfk發表於2018-04-11

背景介紹

SSRF(Server-Side Request
Forgery)服務端請求偽造，是一種由攻擊者構造形成由伺服器端發起請求的一個漏洞，一般情況下，SSRF
攻擊的目標是從外網無法訪問的內部系統。

在網際網路上已經很多介紹SSRF漏洞的原理，漏洞場景，漏洞利用方法的文章，但是大多數的SSRF漏洞利用都是內網掃描，內網服務識別，內網漏洞盲打，寫計劃任務獲取shell，寫私鑰獲取shell，利用SSRF漏洞結合Gohper或者Dict協議攻擊Redis、MongoDB、Memcache等NoSQL，但是很少見有利用SSRF漏洞攻擊內網MySQL、PostgreSQL、MSSQL等關係型資料庫，所以本文我們將介紹如何利用SSRF漏洞結合Gopher系統攻擊內網未授權MySQL，並且獲取系統shell的方法。

MySQL通訊協議

MySQL連線方式：

在進行利用SSRF攻擊MySQL之前，先了解一下MySQL的通訊協議。MySQL分為服務端和客戶端，客戶端連線伺服器使存在三種方法：

Unix套接字；
記憶體共享/命名管道；
TCP/IP套接字；

在Linux或者Unix環境下，當我們輸入

mysql –uroot –proot

登入MySQL伺服器時就是用的Unix套接字連線；Unix套接字其實不是一個網路協議，只能在客戶端和Mysql伺服器在同一臺電腦上才可以使用。

在window系統中客戶端和Mysql伺服器在同一臺電腦上，可以使用命名管道和共享記憶體的方式。

TCP/IP套接字是在任何系統下都可以使用的方式，也是使用最多的連線方式，當我們輸入

mysql –h127.0.0.1 –uroot –proot

時就是要TCP/IP套接字。

所以當我們需要抓取mysql通訊資料包時必須使用TCP/IP套接字連線。

MySQL認證過程：

MySQL客戶端連線並登入伺服器時存在兩種情況：需要密碼認證以及無需密碼認證。當需要密碼認證時使用挑戰應答模式，伺服器先傳送salt然後客戶端使用salt加密密碼然後驗證；當無需密碼認證時直接傳送TCP/IP資料包即可。所以在非互動模式下登入並操作MySQL只能在無需密碼認證，未授權情況下進行，本文利用SSRF漏洞攻擊MySQL也是在其未授權情況下進行的。

MySQL客戶端與伺服器的互動主要分為兩個階段：Connection
Phase（連線階段或者叫認證階段）和Command
Phase（命令階段）。在連線階段包括握手包和認證包，這裡我們不詳細說明握手包，主要關注認證資料包。

認證資料包格式如下：

這裡以無需密碼認證情況登入，看看認證資料包內容：

這裡Packet Length為整個資料包的長度，Packet
Number為sequence_id隨每個資料包遞增，從0開始，命令執行階段遇到命令重新重置為0。這兩個Packet為真個MySQL通協議的基礎資料包。

客戶端請求命令資料包格式如下：

比如這裡select * from flag;命令的資料包如下：

構造攻擊資料包

通過上面MySQL通訊協議的分析，現在需要構造一個基於TCP/IP的資料包，包括連線，認證，執行命令，退出等MySQL通訊資料。

環境：

ubuntu17 4.4.0-62-generic #x86_64

mysql Ver 14.14 Distrib 5.7.20, for Linux (x86_64)

首先我們需要新建一個MySQL使用者，並且密碼為空，使用root使用者登入mysql後執行如下命令即可：

CREATE USER ' usernopass'\@'localhost';

GRANT USAGE ON \*.\* TO ' usernopass'\@'localhost';

GRANT ALL ON \*.\* TO ' usernopass'\@'localhost';

上面我們新建了一個使用者usernopass，只允許本地登入，接下來開始抓包分析。

第一步開一個視窗抓包：

root\@ubuntu17:/\#tcpdump –i lo port 3306 –w mysql.pcay

第二步開一個視窗使用TCP/IP模式連線MySQL伺服器：

root\@ubuntu17:/\#mysql –h 127.0.0.1 –r usernopass

為了抓到更多資料，然後隨便select一個內容，在exit退出。

第三步使用Wireshark開啟上面抓到的mysql.pcap包：

開啟資料包後過濾mysql資料包，然後隨便選一個mysql資料包郵件追蹤流，TCP流，然後過濾出客戶端傳送到MySQL伺服器的資料包，將顯示格式調整為原始資料即可，此時獲取的就是整個MySQL客戶端連線伺服器並且執行命令到退出傳送的資料包內容，如上圖所示。

然後將原始資料整理為一行，並將其url編碼，最後的內容如下圖所示：

將MySQL原始資料進行編碼的指令碼如下：

#!/usr/bin/dev python
#coding:utf-8

def result(s):    
  a = [s[i:i+2] for i in xrange(0, len(s), 2)]    
  return "curl gopher://127.0.0.1:3306/_%" + "%".join(a)

if __name__ == "__main__":    
  import sys    
  s = sys.argv[1]    
  print result(s)

利用SSRF獲取系統shell

上面我們構造好了一堆TCP資料包，如果需要使用SSRF漏洞來攻擊MySQL的話，那麼我們可以使用gopher協議來傳送上面的一堆TCP資料包，最後使用curl傳送請求即可。

這裡我們select了flag表中的資料，最後構造的請求如下：

但是很多情況下，SSRF是沒有回顯的，及時傳送了資料而且MySQL也執行了，但是我們看不到執行後的返回資料，最後我們要的是系統的一個shell。

正常情況下，通過MySQL獲取系統shell一般通過select into
outfile系統檔案，或者使用udf來搞，那麼這裡同樣我們將獲取shell的資料包提取出來，通過gopher協議傳送這些資料包同樣可以達到getshell的目的。

通過select xxx into outfile
yyy寫shell的資料包獲取方法同上面構造攻擊資料包的過程，將執行完寫檔案sql語句的抓包內容提取出來構造好即可，如下圖成功寫shell檔案到系統目錄：

通過udf直接執行系統命令過程同樣，執行完一系列匯出udf到plugin的命令後，即可直接執行系統命令執行，如下圖所示反彈shell：

（注意：在匯出檔案時，當前mysql使用者必須存在file許可權；部分MySQL伺服器執行時啟用了--secure-file-priv選項，匯出檔案時只能匯出到規定的目錄下，一般為/var/mysql/data命令，要自定義目錄時必須修改配置檔案設定secure-file-priv
= “”；並且匯入目錄需要有寫許可權。）

實戰演練

例如下面這段常見的php程式碼，經常在審計程式碼時，遇到這類問題導致的SSRF漏洞，通過這裡的SSRF，如果存在未授權的MySQL即可利用上面的攻擊方法獲取資料庫敏感資訊，甚至獲取系統shell。

<?php
if (isset($_GET["url"])) {
    $url = $_GET['url'];
    $url_parts = parse_url($url);
    $port = $url_parts["port"];
    $host = $url_parts["host"];
    $ip = gethostbynamel($host)[0];
    $curl = curl_init();
    curl_setopt($curl, CURLOPT_URL, $url);
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($curl, CURLOPT_MAXREDIRS, 0);
    curl_setopt($curl, CURLOPT_TIMEOUT, 3);
    curl_setopt($curl, CURLOPT_CONNECTTIMEOUT, 3);
    curl_setopt($curl, CURLOPT_RESOLVE, array($host . ":" . $port . ":" . $ip));
    curl_setopt($curl, CURLOPT_PORT, $port);

    $data = curl_exec($curl);

    if (curl_error($curl)) {
        error(curl_error($curl));
    } else {
        echo $data;
    }    
}
?>

將我們構造好的獲取資訊的請求傳送到url引數，結果如下：