关于MySQL LOAD DATA特性的利用与思考

昨天做测试的时候，遇到个Adminer，成功利用MySQL LOAD DATA特性进行文件读取，并最终getshell。

MySQL LOAD DATA

主要是用于读取一个文件的内容并且放到一个表中。

正常流程:

客户端：hi~ 我将把我的 data.csv 文件给你插入到 test 表中！服务端：OK，读取你本地 data.csv 文件并发给我！客户端：这是文件内容：balabal！

恶意流程:客户端：hi~ 我将把我的 data.csv 文件给你插入到test表中！服务端：OK，读取你本地的 /etc/passwd 文件并发给我！客户端：这是文件内容：balabal（/etc/passwd文件的内容）！

该特性适用于：MySQL Client、PHP with mysqli、PHP with PDO（默认未开启MYSQL_ATTR_LOCAL_INFILE属性，需要手工开启才可以）、Python with MySQLdb、Python3 with mysqlclient、Java with JDBC Driver等。

Adminer

扫描端口，开放8080端口，访问为Adminer 登录页面

Adminer是一个使用PHP开发的数据库管理工具，和phpMyAdmin类似。

下载漏洞利用工具：Rogue-MySql-Server，配置完之后在服务上启动

填写服务器地址，访问

成功读取到目标的/etc/passwd文件

尝试读取web目录文件

后续直接读取配置文件，获取mysql账号密码

使用账号密码登录adminer

利用日志getshell

访问shell

思考

后续思考了下，只要服务端提供MySQL测试/连接的地方，都有可能存在此问题。

比如常见的：

• 远程管理（phpMyAdmin、Adminer等）
• 各类探针（LNMP探针、phpStudy探针、PHP探针等）
• 系统安装程序（wordpress、Discuz、phpwind等）
• 其他测试连接/工具页面

在fofa上搜了下，还挺多的

参考文章

https://lightless.me/archives/read-mysql-client-file.html

https://www.40huo.cn/blog/evil-mysql.html

https://xz.aliyun.com/t/3973

https://www.smi1e.top/mysql-load-data-%E8%AF%BB%E5%8F%96%E5%AE%A2%E6%88%B7%E7%AB%AF%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6/

https://xz.aliyun.com/t/6587

https://github.com/allyshka/Rogue-MySql-Server