Day60权限提升-MY&MS&ORA等SQL数据库提权

基础内容

在web环境和本地环境，都可以得到数据库的账户密码，都可以尝试借助数据库提权，

再利用系统溢出漏洞无果的情况下，可以采用数据库进行提权，但需要知道数据库提权的前提条件：服务器开启数据库服务以及获取最高权限的密码。除了access数据库外，其他的数据库都存在提权的可能

数据库提权第一步是探针，第二步是收集，第三步是分类，

数据库在应用提权在权限提升的意义，

他不是属于溢出漏洞的提权，他不是漏洞的提权方式，数据库在服务器的上的搭建是很常见的，web和本地都可以用数据库提权，满足条件就是只需要获取数据库账号密码。

数据库提权流程：探针信息（端口扫描，sql命令，浏览文件或其他，判断对方有数据库的相关服务）。信息收集（目的获取最高权限密码，如查看配置文件，下载存储文件，暴力破解方式，）

前两步都完成之后进行分类，对每个数据库的提取方法都要了解其操作，

案列，Mysql 数据库提权演示-脚本&MSF 

流程：服务探针-信息收集-提权利用-获取权限

连接上靶机后门

服务探针

namp探测主机操作系统、端口服务，版本信息（nmap -sV -O ip）

这里看到了开发了3306端口，mysql数据库。

提权利用—UDF提权 

mysql在安装之后，自动继承系统权限，取得mysql最高权限的账户密码之后，引用最高权限，调用一个dll文件，去执行系统命令。

之后就开始信息收集

如查看配置文件，下载存储文件，暴力破解方式

，获取方法读取网站的配置文件（sqI data inc config conn database include common等这种命名比较可能是）

比如我现在打开一个pikachu靶场的文件夹

然后就去找找看也没有这个文件，打开inc文件夹，找到了

看一下config

这就是一个简单的演示。但是在实战中账户大概率不会是root，而是一个普通用户。

读取数据库的存储文件，数据库的用户免密保存到mysql文件下的user

复制去解密，解密网站，cmd5.com

就出来了。

这是个mysql的特性。

还有一种是暴力破解。不过这个要提前知道她是否支持外联，假如已经获取到了root，但是目标数据库只支持本地连接，也没有办法连接到他的数据库。root默认不支持外联。

这种情况我们可以找一些网上mysql爆破脚本，

这个就只需要把这个脚本文件上传到对面的服务器，然后访问这个php脚本文件，上传一个爆破字典，对面就会在以本机的方式去运行爆破，自身的服务器去链接，就是在本地进行链接，绕过了禁止外联的方法。

爆破工具是用自己的主机去链接对方数据库。

哎呀，这个真的烦死了，那个看老师用的那个脚本，网上搜不到了，自己搜的又用不了，然后找了python的，搭建的靶场又没有python环境。

也可以常识kali的远程本地爆破数据库

他妈的，啥都配置好了，提示我不支持这个版本

假如已经得到了密码了root

接下来开始提权利用

优先选用的就是udf提权

导出数据时根据MySQL版本选择不同的目录

mysql<5.1      导出目录c:/windows或system32

mysql=>5.1    导出安装目录/lib/plugin/ 

获取mysql1的版本信息

namp探针版本信息

这里博主就是个菜狗，冰蝎不能执行数据库语句，也下不了草泥马4.0，就借用的沙漠里的鲸的文章

之后获取select @@basedir：查看MySQL的安装目录 

然后直接来到安装目录里来，如果/lib/plugin/ 不存在，我们可以手工创建 plugin 目录或利用 NTFS 流创建，

记住这个目录，来到这里看了一下，

点msyql提权，复制好目录真题上去，

直接点安装，然后去看一下靶机

然后这个老师就翻车了。

换了一个工具吗，暗月mysqludf提权工具

连接上之后，复制好目录直接上传dll文件。

然后切换到cmdshell就可以

执行whoami吗，就返回的Windows管理员用户权限。

后续的操作就是，创建用户密码，然后开启远程端口，远程连接他电脑，继续操作。

提权利用-MOF提权（基于 MYSQL 特性的安全问题，成功率低）

他是基于mysql特性的一个问题，

参考链接：https://www.cnblogs.com/xishaonian/p/6384535.html)

mof是windows系统的一个文件（在c:/windows/system32/wbem/mof/nullevt.mof）叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysql的root权限了以后，然后使用root权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行，这个mof当中有一段是vbs脚本，这个vbs大多数的是cmd的添加管理员用户的命令。

将mof上传至任意可读可写目录下，这里我传到D:\wamp\下命名为：xishaonian.mof。也就是：D:\wamp\xishaonian.mof

然后使用sql语句将系统当中默认的nullevt.mof给替换掉。进而让系统执行我们这个恶意的mof文件。

替换的sql语句：select load_file('D:\wamp\xishaonian.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';

这个没有复现成功，失败原因，关键目录不能写入，各种杀软防护，还有等待。

启动项提权（基于配合操作系统自启动）

服务器重启就和电脑重启一样，会自动加载一些文件，比如一些开机自启动功能的软件，就是这个原理，电脑上有很多自启动的文件，这就可以配合mysql数据库的权限，导出一个自定义的可执行文件到自启动目录下，配合重起执行，重启之后就会加载可执行文件。

原理：将创造好的后门或者可执行文件，通过MySQL的权限导出对服务器启动进行写入，哦欸和重起执行。

首先，通过获取到root，开启数据库的外联，运用大马去执行开启外联的sql命令

然后启动msf

选择这个攻击项目

直接写入成功

不过直接被我的杀软给杀了，不过也算是写到了启动项里面，别得就不测试了。

关于如何反弹shell

 作者：沙漠里的鲸 https://www.bilibili.com/read/cv15641176/ 

案列mssql（sqlserver）数据库提权演示

我用的小迪hacker靶场自带的数据库，自己装的话对我这个菜鸡来说真的太麻烦了，

先通过查看数据库的配置文件，找到sa的密码

目录文件地址，真多啊

找到之后登陆进入数据库（这个数据库支持外联）

首先看一下他有没有xp_cmdshell，

xp_cmdshell默认在2000的时候是打开的，如何在2005用户就默认关闭，这里是2008所以需要我们自己手动打开，

如果我们要调用xp_cmdshell提权的时候，要确保他们是打开的，要把它启动起来，

---通过sp_configure开启xp_cmdshell（这里1就是开启，0是关闭）

#启用：

EXEC sp_configure 'show advanced options',1;

RECONFIGURE;

EXEC sp_configure 'xp_cmdshell',1;

RECONFIGURE;

#关闭：

exec sp_configure 'show advanced options',1 ；

reconfigure;

exec sp_configure 'xp_cmdshell',0;

reconfigure; 

进行命令执行

EXEC master.dbo.xp_cmdshell '命令'

这就可以直接执行系统命令

如果出现显示不全，就可以在命令后门加上> c:\\1.txt，这个c盘里面的文本里面方便查看。

2.  使用 sp_oacreate进行提权

---主要是用来调用 OLE 对象，利用 OLE 对象的 run 方法执行系统命令。

#启用：

EXEC sp_configure 'show advanced options',1;

RECONFIGURE WITH OVERRIDE;

EXEC sp_configure 'Ole Automation Procedures',1;

RECONFIGURE WITH OVERRIDE; 

#关闭：

EXEC sp_configure 'show advanced options',1;

RECONFIGURE WITH OVERRIDE;

EXEC sp_configure 'Ole Automation Procedures',0;

RECONFIGURE WITH OVERRIDE;

调用cmd.exe执行ipconfig命令写入到c盘下1.txt文件。

这里文档里面就是回显结果。

3.  使用sqlserver沙盒提权

---参考资料：https://blog.51cto.com/11797152/2411770

这个也没啥原理，对着参考的命令一条一条复制复制就行了，

md虚拟机出问题也是，反正原理很简单，对着输入命令就行。

Oracle数据库提权演示-自动化工具 

Oracle提权分为三种方式：普通用户模式，dba用户模式，注入提权模式。

Oracle一般搭建的画家是java，jsp的环境，如果是jsp环境获取到了网站后门不需要提权，自带系统权限。注入提权模式，一般就是我们说的sql注入，发现一个sql注入点，他都享有系统权限，

通过查看配置文件，获取账号密码

有这个信息之后，就可以开始进行提权，

这还有一个网站的注入点。

直接用sqlmap跑，确定他是不是dba权限

结果是的。判断好权限，直接用Oracleshell工具，输入好在配置文件里面看到的信息，连接上

同时这个工具还支持三个模式，可以自由选择，是普通还是dba还是注入点，

fa

cai