转自http://www.myhack58.com/Article/html/3/8/2011/30287.htm
mysql5.x for
linux下面有一个函数,可以帮助我们干很多事情,这个函数4。x下面貌似没,原来一直没发现,也没去查函数手册,就我自己的经验来写点东西。4,x的
明天再看看函数手册,再装一个实验一下。
mysql
5.x里面引入了一个system函数,这个函数可以执行系统命令,当mysql以root登陆的时候,就可以利用这个函数执行命令,当然是在权限许可的
范围内。
一般我们按照常规思路,搞到mysql的root密码之后,我们都会连接上去,创建一个表,然后outfile,搞到一个webshell
,然后提权如此这般。今天我们换一种方式。
按照上面的方法,我们需要知道web的绝对路径,当然这个很不好找,有些有sqlinjection的,可能报错会显示出来,有的就不一定了。但是
按照我的的方法,没有必要再去找web路径了,直接执行
mysql>system vi /etc/httpd/conf/httpd.conf;
直接这样就可以找到web的路径,当然,我们的目的并不是找web路径,放webshell进去。我们是要来做其他的事情,比如,下载exp执行, 搞到 root权限,然后装后门虾米的
mysql>system chmod +x xxxx;
mysql>system ./xxxx;
这样mysql的root此时就成为system的root了,剩下的事情,如果开了ssh,就ssh上去,输入mysql的用户密码,ok,搞定。
下面开始提权:
实验环境:
A:192.168.211.128 (mysql版本:5.0.77)
B:192.168.211.131
实验过程:
在B机上通过root用户(这里一定要区分,这个root用户是mysql的,并不是linux系统的)连接到A机的数据库
现在已经连到A机的数据库了,下来就开始调用system函数了。
好了,思路就到这里,剩下的大家自己发挥吧。