去年提出的这个问题,在公司大佬们的帮助下,我终于理解了其原理,并利用了 ceye 平台成功进行了复现。
这里我将对原理进行总结,并展示如何利用 CEYE 平台进行复现。
原理分析
虽然这个漏洞利用了 MySQL 的 LOAD_FILE 函数,但其本质是利用了 Windows 资源管理器,通过 // 协议进行子域名的 DNS 解析,将有用信息作为子域名传递出来。
DNS 解析基本原理
首先,让我们了解一下 DNS 解析的基本过程:
详细解释 DNS 域名解析过程如下:
当你在电脑上打开浏览器并输入一个域名(如
www.163.com)时,你的电脑会向本地 DNS 服务器(通常由网络服务提供商如中国电信或中国移动提供)发送一个 DNS 请求。本地 DNS 服务器首先会检查其缓存记录,如果找到该域名的记录,直接返回结果。如果没有找到,它会向 DNS 根服务器查询。
根 DNS 服务器不直接记录域名和 IP 地址的对应关系,而是指导本地 DNS 服务器到 .com 域服务器继续查询,并提供该域服务器的地址。
本地 DNS 服务器接着向 .com 域服务器发送请求,.com 域服务器会告知本地 DNS 服务器该域名的解析服务器地址。
最后,本地 DNS 服务器向该域名的解析服务器发送请求,获取域名和 IP 地址的对应关系,并将结果返回给用户电脑,同时将该对应关系缓存起来,以便下次查询时加速访问。
总结:
当你查询 abc.hack.com 这样的子域名时,hack.com 的 DNS 服务器会收到你的解析请求,这就是 out_of_band 利用的原理。
从 Windows 资源管理器的角度
为什么我说这是对 Windows 资源管理器的利用?下面进行演示:
当你在资源管理器地址栏输入 u0ocor.ceye.io(我的测试账号的 DNS 解析服务器地址)时,你的测试服务器会收到 DNS 解析请求,并记录下来(资源管理器这里不好截图)。
数据库漏洞复现
当你存在注入点时,如果查询结果不会回显,这个 out_of_band 就非常有用了。这里我们直接从数据库开始,不设计后端查询代码。
测试环境:
参数 secure_file_priv 是全局变量,可以通过以下语句查询:
A 机:
B 机:
解释:
这个变量用于限制数据导入和导出操作的影响,如 LOAD DATA、SELECT...INTO OUTFILE 语句和 LOAD_FILE() 函数。
如果变量设置为目录名称,服务器会将导入和导出操作限制在该目录中。该目录必须存在,服务器不会自动创建。
如果变量为空,不会产生影响,可能会导致不安全的配置。
如果变量设置为 NULL,服务器会禁用导入和导出操作。从 MySQL 5.5.53 版本开始允许设置为 NULL。
在 MySQL 5.5.53 之前,此变量默认为空,因此可以使用这些函数。但在 5.5.53 之后的版本中,NULL 值会禁用这些功能。(根据两台测试机器不同版本的 MySQL 来判断,可能会默认为 MySQL 的 /upload 根目录)
补充两个机器的 MySQL 版本:
A 机:
B 机:
复现
在满足上述全局变量条件下,注意以下四点:
- 最大查询长度问题,文件的大小限制。
- 文件编码是否与数据库相同。
- 绝对路径需要使用 //。
- 子域名最大长度问题,DNS 规定,域名中的标号由英文字母和数字组成,每个标号不超过 63 个字符,不区分大小写字母。标号中除连字符(-)外不能使用其他标点符号。
下面进行演示:
A 机:
效果如图:
B 机:
效果如图:
至于能读取什么文件或查询什么数据,取决于具体情况和需求。读取文件时需要考虑文件权限、编码等问题。
漏洞限制
限制在 Windows 系统,因为原理是利用了 LOAD_FILE 在 Windows 中读取文件时利用了资源管理器(可能不准确,未具体研究,但能与资源管理器进行相同的 DNS 查询操作,官方文档中未提及)。
在 MySQL 5.5.53 之前,参数
secure_file_priv一直为空,可以任意读取文件。在我的测试中,之后的 MySQL 版本已对此有所限制(目录限制,无法随意读取文件)。漏洞的利用点不一定限于数据库(更不限于 MySQL),如果你能唤起 Windows 的资源管理器,就可以成功利用这个 DNS 通道查询传输信息。
知识扩展
一些可用 payload:
- Windows:
- SQL Server:
- Oracle:
- MySQL:
- PostgreSQL:
- XML Entity Injection
- Struts2
- FFMpeg
- Weblogic
- ImageMagick
- Resin
- Discuz
扩展玩法
从这个漏洞出发,拓展到任意主机上,这是一种利用 DNS 进行内网穿透传输信息的技术,可以应用于某些渗透场景。
用 Kali 演示了一个小脚本:
推荐一个工具:dnscat2,
下载地址:
dnscat2 提供客户端和服务端。
使用的条件:
- 一台 VPS
- 一个域名控制权限
- 一台内网权限
具体使用可以结合两篇博客进行学习,这里不做演示,扩展阅读:
- 利用 DNS 隧道传递数据和命令来绕过防火墙
- 利用 PowerShell 和 Dnscat2 绕过防火墙
技术有限,如文中有理解错误的地方,希望大家指出,我将及时进行更正。
