快捷導(dǎo)航

MySQL客戶端任意文件讀取漏洞方式

更新時(shí)間：2025年02月22日 08:41:08 作者：不會(huì)畫(huà)畫(huà)的畫(huà)師

本文介紹了MySQL服務(wù)端反向讀取客戶端任意文件的漏洞原理,利用LOADDATAINFILE語(yǔ)法實(shí)現(xiàn),通過(guò)偽造MySQL服務(wù)器,客戶端讀取的文件內(nèi)容由服務(wù)端決定,漏洞復(fù)現(xiàn)步驟包括獲取腳本、修改配置、運(yùn)行服務(wù)器、客戶端連接并查看日志,防范措施包括使用SSL模式和設(shè)置local_infile為0

原理

1、通信機(jī)制

由于MySQL服務(wù)端和客戶端通信過(guò)程是通過(guò)對(duì)話形式完成的?？蛻舳税l(fā)送一個(gè)操作請(qǐng)求，服務(wù)端會(huì)根據(jù)客戶端發(fā)送的請(qǐng)求進(jìn)行響應(yīng)。

在這個(gè)通信過(guò)程中，如果一個(gè)操作需要兩步才能完成，當(dāng)客戶端發(fā)完第一個(gè)請(qǐng)求后，它會(huì)直接丟棄第一個(gè)請(qǐng)求，并不會(huì)做存儲(chǔ)；然后客戶端會(huì)根據(jù)服務(wù)端的響應(yīng)，進(jìn)行第二個(gè)請(qǐng)求，此時(shí)服務(wù)端就可以欺騙客戶端。

2、語(yǔ)法說(shuō)明

MySQL服務(wù)端反向讀取客戶端的任意文件是利用了LOAD DATA INFILE語(yǔ)法，該語(yǔ)法主要用于讀取文件內(nèi)容并插入到表中。

-- 讀取服務(wù)端本地文件，并插入到表中
load data infile "/data/data.csv" into table test_table;
-- 讀取客戶端本地文件，并插入到表中
load data local infile "/data/data.csv" into table test_table;

針對(duì)該語(yǔ)法，MySQL官方文檔原文：

In theory, a patched server could be built that would tell the client program to transfer a file of the server’s choosing rather than the file named by the client in the LOAD DATA statement.” 從理論上講，可以構(gòu)建一個(gè)經(jīng)過(guò)修補(bǔ)的服務(wù)器，該服務(wù)器會(huì)指示客戶端程序傳輸由服務(wù)器選擇的文件，而不是客戶端在 LOAD DATA 語(yǔ)句中指定的文件.

即客戶端讀取的文件內(nèi)容，并不是由客戶端決定的，而是根據(jù)服務(wù)端的響應(yīng)決定的，于是就可以偽造MySQL服務(wù)器，實(shí)現(xiàn)通信示例3的效果。

舉例說(shuō)明：