Mariadb蜜罐 | 用改造过的服务端攻击客户端

上周发现了一个神奇的 Mariadb 服务端插件，可以用来做蜜罐，这里分享给大家。说是一个蜜罐，但在渗透中，也可以用来搞定某些服务器，你懂的。

简介

简单讲，MariaDB 存在一个未公开的协议，在客户端进行查询前，重写客户端要执行的查询语句，并重新发起查询。那么这个有什么危害呢？

如果我们将客户端的查询语句，替换为某些恶意的语句，e.g.

LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test.loot

就可以实现一些对客户端的攻击。如果是Windows客户端，这个危害还可以进一步扩大，你懂的。

其实这个场景还是很多的，很多 MySQL 监控程序，都会连接数据库，执行一些语句，e.g.

SELECT @@server_id

如果被替换成读取敏感文件的语句，Well~

实战演示

配置服务

我们用 Ubuntu 16.04 进行演示，安装好 mariadb 和 maxscale

MaxScale For Ubuntu 在这里下载

我们先简单配置下 Mariadb，创建一个库和用户，

确认 mariadb 可用之后，我们再配置下 maxscale 插件，完整配置在文末可以下载。

我们添加一个新的 Filter, 它负责把 `select @@server_id` 替换为 `LOAD DATA` 语句，实现客户端文件盗取。

实际效果演示

下面我们打开另外一台虚拟机，一台 CentOS 5 的服务器

我们先确认下 /etc/passwd 的内容，和 MariaDB 所在的服务器内容不同，

客户端的文件，最后一行是 xfs 用户，

而恶意的MariaDB服务器上，最后一行是 work 账号，而且没有 xfs 用户（grep 验证了下）

下面我们来连接到恶意的服务器，执行一下 select @@server_id 命令（注意 MaxScale 监听的是 4008 端口）

执行成功，回到恶意的MairaDB服务器，发现 test.loot 已经写入了数据，而且是客户端的文件哦

好了，我们成功的读取到了 /etc/passwd，那么这个真的只影响 MySQL 客户端？不是的，不管你用 PHP、Python 还是 Ruby，都会受到影响，所以这个危害还是很大的。

当然，一个聪明的攻击者，应当禁用Mariadb的认证机制，让任何客户端都能够连接。

附件

完整 MaxScale 配置查看阅读原文。