01 前置知识
linux常用日志路径:
1:Apache:
/var/log/httpd/access.log
/var/log/apache/access.log
/var/log/apache2/access.log
2:Nginx:/var/log/nginx/
3:MySQL:/var/log/mysql/ /var/log/mariadb/
4:PostgreSQL:/var/log/postgresql/
5:PHP:/var/log/php/
6:SSH(认证日志):/var/log/secure /var/log/auth.log
7:系统日志:/var/log/messages
mysql提权:
MOF提权
UDF提权
启动项提权
CVE-2016-6663&CVE-2016-6664
现在一般MOF提权比较少了,只适用于windows2003/XP等低版本
启动项提权要求太过苛刻,且需要重启服务器
cve-2016-6663/6664要求MySQL<5.5.51或<5.6.32或<5.7.14
最为常见的mysql提权方式为UDF提权:
UDF提权介绍
udf是mysql得一个拓展接口,也称为用户自定义函数,用户通过自定义函数来实现在mysql中无法方便实现得功能当攻击者已知root账号和密码,就可以利用root权限,创建带有调用cmd函数的“udf.dll”。当我们把udf.dll导出指定文件夹引入mysql时候,其中的调用函数拿出来当作mysql函数来使用。
UDF提权思路
MySQL版本小于5.1的时候,windows2003的udf.dll文件放置在:c:\windows\system32。windows2000的udf.dll文件放置在:c:\winnt\system32。
MySQL版本大于5.1的时候,udf.dll文件必须放置在MySQL安装目录下的lib\plugin,但是大于5.1版本的时候没有plugin这个文件夹,需要自己创建。
02 题目
mysql应急响应 ssh账号 root 密码 xjmysql
ssh env.xj.edisec.net -p xxxxx
1.黑客第一次写入的shell flag{关键字符串}
2.黑客反弹shell的ip flag{ip}
3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx
4.黑客获取的权限 flag{whoami后的值}
1.黑客第一次写入的shell flag{关键字符串}
cd var/www/html
首先进入网络路径,下载查看shell
下载中火绒报毒
d盾查杀:
经确认,sh.php为黑客上传的木马文件
flag{ccfda79e-7aa1-4275-bc26-a6189eb9a20b}
2.黑客反弹shell的ip flag{ip}
此题考察mysql应急,所以直接查看mysql日志
cd /var/log/mysql
cat error.log
查看日志发现日志中显示存了一个1.sh的文件,存到了/tmp路径中
cat 1.sh
flag{192.168.100.13}
3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx
猜测为udf提权,根据前置知识,udf提权上传文件是上传到/plugin路径的,只需要搜索/plugin在哪即可
find / -type d -name "plugin"
-type d 只搜索文件夹
存在udf.so提权文件
/usr/lib/mysql/plugin/udf.so
flag{b1818bde4e310f3d23f1005185b973e7}
4.黑客获取的权限 flag{whoami后的值}
ps -aux 查看所有进程 提权文件运行的权限为mysql
flag{mysql}