mysql 协议说明_MySQL认证协议_MySQL

本文是针对MySQL 5.5.9写的。MySQL协议是向老版本兼容的。老版本的MySQL Client可能不理解下面的某些字段而忽略掉。

实际使用的时候,服务器的协议版本应当大于等于客户端。遗憾的是,MySQL并没有对每一次协议变动标一个数字。

本文中所说的”字节”一词,英文是Byte。遵循C语言中定义,即char的大小。注意:没有规定1字节一定等于8位。所以如果你准备在1字节不等于8位的环境中使用mysql,那是给自己找事。

我祈祷你的char是有符号的。

参考http://forge.mysql.com/wiki/MySQL_Internals_ClientServer_Protocol(我也参与这个页面的编辑)

一、客户端连接服务器的流程

请参见sql-common/client.c的CLI_MYSQL_REAL_CONNECT函数。使用系统的socket函数建立一个socket,然后连接服务器。

使用这个socket初始化一个vio对象

net-vio= vio_new(sock, VIO_TYPE_TCPIP, VIO_BUFFERED_READ);

使用vio初始化net对象

my_net_init(net, net-vio)

并对vio设置为keep alive

vio_keepalive(net-vio,TRUE);

然后设置各种参数

客户端接下来的流程可分为三个阶段:Connection established, read and parse first packet

invoke the plugin to send the authentication data to the server

authenticated, finish the initialization of the connection

二、服务器处理连接

服务器启动的时候是在sql/mysqld.cc的network_init函数建立socket,然后bind。服务器专门有一个线程(可称为Connection Manager)处理新来的网络连接。这个线程的主函数是sql/mysqld.cc的handle_connections_sockets_thread,主要的逻辑在sql/mysqld.cc的handle_connections_sockets。handle_connections_sockets的逻辑就是典型的select()/accept()/dispatch。每个客户端连接最终会对应着一个线程以及一个THD对象。THD类不是一个通用的描述任意线程的类,它就是专门为处理客户端的的TCP连接而设计的。这个类非常大,在sql/sql_class.h中定义。

每个worker线程的入口函数是在sql/sql_connect.cc中的handle_one_connection。sql/sql_parse.cc的do_command从网络连接上读一个command,并执行。handle_one_connection函数是以while循环的方式执行do_command。

三、协议

客户端发给服务器的包可分为两种:登录时的一个auth包,以及身份验证结束后的command包。

服务器发给客户端的包可分为四种:登录时的握手包、数据包、数据流结束包、成功包(OK Packet)、错误信息包。

所有的包都具有统一的格式,由统一的函数(sql/net_serv.cc:my_net_write(…))写入buffer等待发送。长度描述

3包长度(单位:字节)。按低字节低址的规则存放。因为一共就3个字节,所以单个包的最大长度是(2的16次方-1)字节,约等于16MB。最小长度是0。

1序号。第一个是0。

ndata。

实际上,包长等于 2的16次方-1的包也会被拆成2个包发送。因为Mysql最初没有考虑突破16M,也没有预留任何字段做标志这个包的数据不完整。所以只好把长度为2的16次方-1的包视做不完整的包,直到后面收到一个长度小于2的16次方-1的包,然后拼起来。所以最后一个包的长度有可能是0。

登录

服务器在每收到一个新的连接的时候,会使用sql/sql_connect.cc的login_connection函数作身份验证。先根据IP做acl,然后才进入用户名密码验证阶段。mysql的登录协议是经典的CHAP协议,sql/sql_acl.cc的native_password_authenticate函数的注释简单了解释了这个协议:the server sends the random scramble to the client.

client sends the encrypted password back to the server.

the server checks the password.

random scramble在4.1之前的版本中是8字节整数,在4.1以及后续版本是20字节整数。它是由password.c的create_random_string函数生的,因为它采用的是rand()%94+33这样的方式生的,所以scramble的每个字节一定是[33,127)之间的ASCII字符,在协议中发送时,是加上’/0’之后发的(这个后面会详细解释)。

命令—答复

在身份验证之后,服务器和客户端之间处于一问一答的模式。 截至到Mysql 5.5.9,mysql server一共支持30种command,sql/sql_parse.cc的 dispatch_command函数写了一个大大的switch…case来处理它们。COM_SLEEP

COM_QUIT

COM_INIT_DB

COM_QUERY

COM_FIELD_LIST

COM_CREATE_DB

COM_DROP_DB

COM_REFRESH

COM_SHUTDOWN

COM_STATISTICS

COM_PROCESS_INFO

COM_CONNECT

COM_PROCESS_KILL

COM_DEBUG

COM_PING

COM_TIME

COM_DELAYED_INSERT

COM_CHANGE_USER

COM_BINLOG_DUMP

COM_TABLE_DUMP

COM_CONNECT_OUT

COM_REGISTER_SLAVE

COM_STMT_PREPARE

COM_STMT_EXECUTE

COM_STMT_SEND_LONG_DATA

COM_STMT_CLOSE

COM_STMT_RESET

COM_SET_OPTION

COM_STMT_FETCH

COM_DAEMON

四、服务器的握手包

客户端执行recv,会收到一个来自server的包,其中第一个字节是协议的版本号。其它的重要信息还有connection id、scramble

41 00 00 00

0A 35 2E 30 2E 32 30 2D 73 74 61 6E 64 61 72 64 2D 6C 6F 67 00 44 8E 4E 00 5A 66 72 2A 79 43 24 27 00 2C A2 08 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 36 7B 29 58 5E 50 56 41 21 7C 73 4C 00

其格式如下:(来自sql_acl.cc的send_server_handshake_packet函数的注释)长度说明

1协议的版本号 (0x0A)

n以0结尾的字符串。描述服务器版本

4thread id

8scramble的前8个字节

10x00。也就是说让scramble看起来是一个以0结尾的字符串

2server capabilities的低两个字节。

1server character set

2server status

2server capabilities的高两个字节。

1scramble的总长度

10保留。必须以0填充。

n(至少12)scramble的剩余部分。(不包含’/0’)

10x00。也就是说让scramble看起来是一个以0结尾的字符串

server capabilities表:名字从右往左数第几位说明

CLIENT_LONG_PASSWORD1new more secure passwords

CLIENT_FOUND_ROWS2Found instead of affected rows

CLIENT_LONG_FLAG3Get all column flags

CLIENT_CONNECT_WITH_DB4One can specify db on connect

CLIENT_NO_SCHEMA5Don’t allow database.table.column

CLIENT_COMPRESS6Can use compression protocol

CLIENT_ODBC7Odbc client

CLIENT_LOCAL_FILES8Can use LOAD DATA LOCAL

CLIENT_IGNORE_SPACE9Ignore spaces before ‘(‘

CLIENT_PROTOCOL_4110New 4.1 protocol

CLIENT_INTERACTIVE11This is an interactive client

CLIENT_SSL12Switch to SSL after handshake

CLIENT_IGNORE_SIGPIPE13IGNORE sigpipes

CLIENT_TRANSACTIONS14Client knows about transactions

CLIENT_RESERVED15Old flag for 4.1 protocol

CLIENT_SECURE_CONNECTION16New 4.1 authentication

CLIENT_MULTI_STATEMENTS17Enable/disable multi-stmt support

CLIENT_MULTI_RESULTS18Enable/disable multi-results

CLIENT_PS_MULTI_RESULTS19Multi-results in PS-protocol

CLIENT_PLUGIN_AUTH20Client supports plugin authentication

CLIENT_SSL_VERIFY_SERVER_CERT31

CLIENT_REMEMBER_OPTIONS32

五、然后客户端将密码等发送过去

客户端根据服务器发给的scramble对原始密码进行散列,然后和其它参数一起发给服务器

发送登录数据:

00000000 3A 00 00 01 85 A6 03 00 00 00 00 01 08 00 00 00

00000010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00000020 00 00 00 00 72 6F 6F 74 00 14 00 00 00 00 00 00

00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 00长度说明

4client capabilities

4max packet size

1charset number

23保留。必须以0填充。

nuser name。以0结尾的字符串

nhash过的密码。length (1 byte) coded

ndatabase name,以0结尾的字符串。只有client capabilities中有CLIENT_CONNECT_WITH_DB时,此字段才有效。

nclient auth plugin name。以0结尾的字符串。只有client capabilities中有CLIENT_PLUGIN_AUTH时,此字段才有效。如果使用mysql默认的auth机制,此处应该为mysql_native_password

sql-common/client.c的send_client_reply_packet函数构造这个答复包然后发送。散列算法的实现在password.c的scramble(char *to, const char *message, const char *password)函数。

四、再度发送scrambled password (可选)

授权信息已经发送过去了,服务器可以会回答说OK(发回一个OK_PACKET),也有可能会要求再度发送scrambled password。

如果要再度发送,服务器会返回一个1字节的包,如果第一个字节是0xFE且mysql.server_capabilities设置了CLIENT_SECURE_CONNECTION,那么

就需要再度发送scrambled password

这个似乎是为了和以前老版本兼容,这次需要使用3.23版的scramble对password进行加密然后发送。

scramble_323(buff, mysql->scramble, passwd);

如:

0x8059000: 0x09 0x00 0x00 0x03 0x4d 0x45 0x46 0x4c

0x8059008: 0x4f 0x44 0x4b 0x4b 0x00

这个包的格式很简单,包头,然后是9个字节的scramble(其中最后一个字节必须是0x00)

不过要注意,此处包头的第4个字节是0x03,因为这是认证过程是双方来回发送的第三个包了。

五、命令

0x20,0x00,0x00,0x00, 包头

0x03 //命令的类型,COM_QUERY

select * from xxx where xxx //arg

========================================================

MYSQL认证漏洞:

1、构造0长度的scramble绕过密码校验

这几乎可以算是mysql目前发现的危害性最严重的安全漏洞了。

出问题的代码:

my_boolcheck_scramble_323(constchar*scrambled,constchar*message,ulong*hash_pass){structrand_structrand_st;ulonghash_message[2];charbuff[16],*to,extra;/* Big enough for check */constchar*pos;hash_password(hash_message,message,SCRAMBLE_LENGTH_323);randominit(&rand_st,hash_pass[0]^hash_message[0],hash_pass[1]^hash_message[1]);to=buff;for(pos=scrambled;*pos;pos++)*to++=(char)(floor(my_rnd(&rand_st)*31)+64);extra=(char)(floor(my_rnd(&rand_st)*31));to=buff;while(*scrambled){if(*scrambled++!=(char)(*to++^extra))return1;/* Wrong password *

f68f2add0b68e4f9810432fce46917b7.png

相关标签:

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

你可能感兴趣的:(mysql,协议说明)