Gopher是怎样攻击MySql

这篇文章给大家介绍Gopher是怎样攻击MySql，内容非常详细，感兴趣的小伙伴们可以参考借鉴，希望对大家能有所帮助。34c3CTF web中的extract0r。题中的目是一个安全解压服务，用户输入zip的url地址，程序对url进行合法性校验后会下载该zip，然后为用户创建一个目录，把文件解压进去经过测试，发现输入的域名中不能含有数字，并且压缩文件中不能含有目录，解压后的目录不解析php。通过上传一个含有符号链接文件的压缩包，可以达到任意文件读取的效果。上传后访问test_link得到源代码简要分析代码流程经rebirth提醒，可以使用以.开头的文件来绕过verify_extracted中对链接目录的检测。ln -s / .a把.a打包上传即可。这里是因为glob($dir . '/*');*遍历不到以.开头的文件。故绕过了对文件类型的检测，成功了链接到了根目录。翻一翻目录会发现:/home/extract0r/create_a_backup_of_my_supersecret_flag.sh这里创建了一个空密码的mysql用户，并且flag就在数据库中。之前已经有利用gopher协议攻击redis、fastcgi等的案例。我们可以试着利用gopher攻击一下mysql。这里有两个要点绕过ip检查，实现ssrf研究mysql协议，构造payload通过代码逻辑我们可知url->php parse_url（过滤ip）->过滤url各部分(空白字符和数字)->curl发送请求这里可利用parse_url和libcurl对url解析的差异来绕过。经过测试,得出以下结论（我本地环境php 7.0.20-2 libcurl/7.52.1）那么我们可以构造出一个域名，让php解析出来的host是a.com，dns解析后ip不在黑名单，这样就绕过了黑名单检查。而libcurl实际请求时候是另外一个域名，这样我们就可以实现任意ip请求了。fuzz一下后得到以下结果
http://u:p:@a.com:3306@b.com/
http://u:@a.com:3306@b.com/
都可以实现php解析出来是b.com 而curl实际请求a.com:3306但此题目中php解析url后在clean_parts中过滤了空白字符和数字，所以以上url均不可用。题目作者给出的url是：gopher://foo@[cafebabe.cf]@yolo.com:3306刚开始不太理解，后来@rebirth告诉我在rfc3986是这样定义url的：A host identified by an Internet Protocol literal address, version 6 or later, is distinguished by enclosing the IP literal within square brackets (“[” and “]”). This is the only place where square bracket characters are allowed in the URI syntax.
IP-literal = “[” ( IPv6address / IPvFuture ) “]”
也就是说[ip]是一种host的形式，libcurl在解析时候认为[]包裹的是host另外ricter大佬的gopher://foo@localhost:f@ricterz.me:3306/在题目环境中是可用的，我本地不可用（题目的libcurl版本比我本地高）研究的目的是为了构造出gopher连接mysql的payload，mysql协议分为4.0之前和4.0之后两个版本，这里仅讨论4.0之后的协议，mysql交互过程：
MySQL数据库用户认证采用的是挑战/应答的方式，服务器生成该挑战数(scramble)并发送给客户端，客户端用挑战数加密密码后返回相应结果，然后服务器检查是否与预期的结果相同，从而完成用户认证的过程。登录时需要用服务器发来的scramble加密密码，但是当数据库用户密码为空时，加密后的密文也为空。client给server发的认证包就是相对固定的了。这样就无需交互，可以通过gopher协议来发送。mysql数据包前需要加一个四字节的包头。前三个字节代表包的长度，第四个字节代表包序，在一次完整的请求/响应交互过程中，用于保证消息顺序的正确，每次客户端发起请求时，序号值都会从0开始计算。
具体到抓包数据当用户密码为空时，认证包唯一的变量挑战认证数据为0x00(NULL)，所以认证包就是固定的了，不需要根据server发来的初始化包来计算了
这里顺带提一下密码的算法为命令报文相当简单第一个字节表示当前命令的类型，比如0x02(切换数据库)，0x03(SQL查询)后面的参数就是要执行的sql语句了。经过分析，执行一句sql语句时，发送了两个packet（认证packet、命令p免费云主机域名acket） ，那么我们把两个packet一起发给server端，server就会响应给我们结果。 packet的构造参见上文协议格式，需要注意的是mysql协议是小端字节序。这里我用socket做一个简单的测试,使用的是无密码用户，发送的sql语句是select now();那么在php下，使用libcurl请求也是一样的php的payload最后加了四个空字节，这是为了让server端解析第三个数据包时出错，断开与我们的连接。尽快返回数据，题目中curl的超时时间是3s至此，我们完成了从gopher到sql执行。反观题目，这里需要curl得到的响应是可以被解压的。所以我们需要想办法把查出来的数据构造成压缩文件格式。zip压缩算法压缩出来的文件一般包括四部分。经过测试，7z是可以成功解压一个格式合法的压缩文件的，即使是文件CRC错误，部分字段异常。那么思路就来了，利用sql语句构造查询出zip的头和尾部，把我们想要的数据concat到中间的Deflate部分即可。（7z解压时候发现部分header异常，Deflate部分的数据会不经解压直接写入到解压后的文件）形如
select concat(zip_header,(the sql we want to execute), zip_eof)针对zip具体的构造，不在赘述，参见zip算法详解这里我写了一个函数帮助我们创建需要注意的是，zip的Deflate部分是保存文件压缩后的内容，zip格式又要求必须给出Deflate部分的大小。这里我们只需把查出数据保存在Deflate部分，并且根据查询结果的预期大小来指定Deflate部分的尺寸。比如查询select version()时候Deflate大小20就够了。 这里给出一个sql大家可以自行测试
这里的1000就是Deflate数据部分占用大小。至此我们也就完成了sql语句的构造，可以通过sql查出一个压缩包格式的数据。并且解压后的文件内容就是查询结果。那么梳理一下，先是通过符号链接，得到了一个没有密码的数据库用户。又通过parse_url和libcurl的解析差异，绕过了对ip的合法性校验，从而可以实现ssrf任意ip。又通过分析mysql协议，发现空密码用户可以直接构造出packet执行sql语句。最终我们只需要输入gopher://foo@[cafebabe.cf]@yolo.com:3306/_+(发送给mysql的packet)+(四个空字节)就可以得到结果。为了方便，我写了一个简单的mysql client，测试与mysql 的通信并生成payload。输入后:有兴趣的可以连接自己的mysql，dump出packet关于Gopher是怎样攻击MySql就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。

相关推荐: vsftpd用户配置 No.2

在配置ftp虚拟用户的过程中，还有一种配置方式。yum -y install 安装vsftpdcp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak编辑vsftpd.conf开启下列选项：anonymous…