Mysql溯源-任意文件读取👻

前言

读了《MySQL蜜罐获取攻击者微信ID》的文章，文中说明了通过mysql蜜罐读取攻击者微信ID的过程，抱着学习的态度尝试了一下

原理

mysql中有一个load data local infile函数能够读取本地文件到mysql数据库中。当攻击者用爆破mysql密码的扫描器扫描到我们的mysql并连接上的时候，客户端（攻击者）会自动发起一个查询，我们（服务端）会给与一个回应，我们在回应的数据包中加入load data local infile读取攻击者的本地文件到我们数据库中，达到反制的目的。

具体过程

LOAD DATA INFILE

LOAD DATA INFILE语句用于高速地从一个文本文件中读取行，并写入一个表中。文件名称必须为一个文字字符串。
LOAD DATA INFILE 是 SELECT … INTO OUTFILE 的相对语句。把表的数据备份到文件使用SELECT … INTO OUTFILE，从备份文件恢复表数据，使用 LOAD DATA INFILE。基本语法如下：

LOAD DATA [LOW_PRIORITY | CONCURRENT] [LOCAL] INFILE 'file_name.txt'
    [REPLACE | IGNORE]
    INTO TABLE tbl_name
    [FIELDS
        [TERMINATED BY 'string']
        [[OPTIONALLY] ENCLOSED BY 'char']
        [ESCAPED BY 'char' ]
    ]
    [LINES
        [STARTING BY 'string']
        [TERMINATED BY 'string']
    ]
    [IGNORE number LINES]
    [(col_name_or_user_var,...)]
    [SET col_name = expr,...)]

这个功能默认是关闭的，当我们本地mysql服务器没有开启这个功能执行时会报错：

我们可以通过如下命令查看功能状态

show global variables like 'local_infile';

我们通过如下命令开启这个功能：

set global local_infile=1;

然后我们通过如下命令尝试读取本地的C盘目录下的1.txt文件

load data local infile 'C:/1.txt' into table test fields terminated by '\n';

通信过程

我们模拟一下攻击者通过扫描器连接MySQL数据库的通信过程
工具：Wireshark
首先我们通过Wireshark抓取通信流量查看一下通信过程

注意：
当自己电脑既是客户端又是服务器时，互相访问时流量并没有经过网卡，windows系统又没有提供本地回环网络的接口，
wireshark在windows系统上默认使用的是WinPcap来抓包的，用它监控网络的话只能看到经过网卡的流量，看不到访问
localhost的流量，所以才会出现第一次连接始终没有数据包的状况。解决这个问题的两种办法是：要么服务器和客户端
不要在同一台机器上，要么用Npcap来替换掉WinPcap，Npcap提供环回接口